Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
System macOS Mojave 10.14.5, uaktualnienie zabezpieczeń 2019-003 High Sierra i uaktualnienie zabezpieczeń 2019-003 Sierra
Wydano 13 maja 2019 r.
Architektura dostępności
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2019-8603: Phoenhex i qwerty (@_niklasb, @qwertyoruiopz, @bkth_) w ramach programu Zero Day Initiative firmy Trend Micro
AMD
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8635: Lilang Wu i Moony Li z TrendMicro Mobile Security Research Team w ramach programu Zero Day Initiative firmy Trend Micro
Zapora sieciowa aplikacji
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2019-8590: brytyjska organizacja National Cyber Security Centre (NCSC)
Narzędzie archiwum
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2019-8640: Ash Fox z Fitbit Product Security
Wpis dodano 1 sierpnia 2019 r.
Bluetooth
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: z powodu błędnej konfiguracji protokołów parowania Bluetooth wersji Bluetooth Low Energy (BLE) kluczy bezpieczeństwa FIDO atakujący znajdujący się w bliskiej odległości może być w stanie przechwycić ruch Bluetooth podczas parowania
Opis: rozwiązano problem poprzez wyłączenie akcesoriów z niezabezpieczonymi połączeniami Bluetooth. Klienci korzystający z wersji Bluetooth Low Energy (BLE) klucza bezpieczeństwa Titan firmy Google powinni zapoznać się z czerwcowymi biuletynami systemu Android i zaleceniami Google oraz podjąć odpowiednie działania.
CVE-2019-2102: Matt Beaver i Erik Peterson z Microsoft Corp.
Wpis dodano 17 września 2019 r.
CoreAudio
Dostępne dla: macOS Sierra 10.12.6, macOS Mojave 10.14.4 i macOS High Sierra 10.13.6
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi błędów.
CVE-2019-8592: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
Wpis uaktualniono 8 października 2019 r.
CoreAudio
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: przetworzenie złośliwie spreparowanego pliku filmu może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8585: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
CoreText
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8582: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 25 lipca 2019 r.
Usługi biurka
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: złośliwa aplikacja może ominąć kontrolę przeprowadzaną przez funkcję Gatekeeper.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2019-8589: Andreas Clementi, Stefan Haselwanter i Peter Stelzhammer z organizacji AV-Comparatives
Obrazy dysków
Dostępne dla: macOS Sierra 10.12.6, macOS Mojave 10.14.4 i macOS High Sierra 10.13.6
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2019-8560: Nikita Pupyshev z Bauman Moscow State Technological University
Wpis uaktualniono 14 maja 2019 r.
EFI
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: użytkownik może zostać nieoczekiwanie zalogowany na konto innego użytkownika.
Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.
CVE-2019-8634: Jenny Sprenger i Maik Hoepfel
Sterownik graficzny Intel
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8616: Lilang Wu i Moony Li z Trend Micro Mobile Security Research Team w ramach programu Zero Day Initiative firmy Trend Micro
Sterownik graficzny Intel
Dostępne dla: macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8629: Arash Tohidi z firmy Solita Oy
IOAcceleratorFamily
Dostępne dla: systemu macOS High Sierra 10.13.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4456: Tyler Bohan z Cisco Talos
IOKit
Dostępne dla: macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Zagrożenie: użytkownik lokalny może być w stanie wczytać niepodpisane rozszerzenia jądra.
Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2019-8606: Phoenhex i qwerty (@_niklasb, @qwertyoruiopz, @bkth_) w ramach programu Zero Day Initiative firmy Trend Micro
Jądro
Dostępne dla: macOS Mojave 10.14.4 i macOS High Sierra 10.13.6
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2019-8633: Zhuo Liang z Qihoo 360 Vulcan Team
Wpis dodano 25 lipca 2019 r., uaktualniono 17 września 2019 r.
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2019-8525: Zhuo Liang i shrek_wzw z Qihoo 360 Nirvan Team
Wpis dodano 14 maja 2019 r.
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: osoba atakująca zdalnie może ujawnić zawartość pamięci.
Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8547: derrek (@derrekr6)
Wpis dodano 14 maja 2019 r.
Jądro
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8576: Brandon Azad z Google Project Zero, Junho Jang i Hanul Choi z LINE Security Team
Wpis uaktualniono 30 maja 2019 r.
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
CVE-2019-8591: Ned Williamson w ramach programu Google Project Zero
Wiadomości
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8573: natashenka z Google Project Zero
Wpis dodano 3 lipca 2019 r.
Wiadomości
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: użytkownicy usunięci z rozmowy iMessage mogą być nadal w stanie modyfikować stan.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2019-8631: Jamie Bishop z Dynastic
Wpis dodano 1 sierpnia 2019 r.
Mikrokod
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: ładowanie portów, wypełnianie buforów i przechowywanie buforów na komputerach z mikroprocesorami korzystającymi z wykonywania spekulatywnego może pozwolić osobie atakującej z dostępem użytkownika lokalnego na ujawnienie informacji z sąsiedniego procesu (atak typu side-channel).
Opis: częściowo rozwiązano wiele problemów umożliwiających ujawnienie informacji przez poprawienie mikrokodu i wprowadzenie zmian w module planowania systemu operacyjnego w taki sposób, aby system był odizolowany od zawartości internetowej działającej w przeglądarce. Aby w pełni rozwiązać ten problem, można skorzystać z dodatkowych (opcjonalnych) zmian, które powodują domyślne wyłączenie mechanizmu Hyper-Threading i włączenie zmian mikrokodu dla wszystkich procesów. Szczegółowe informacje o tych zmianach znajdują się w artykule https://support.apple.com/pl-pl/HT210107.
CVE-2018-12126: Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco z firmy Intel; Lei Shi — Qihoo 360 CERT; Marina Minkin; Daniel Genkin z uczelni University of Michigan; Yuval Yarom z uczelni University of Adelaide
CVE-2018-12127: Brandon Falk z Microsoft Windows Platform Security Team; Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco z firmy Intel
CVE-2018-12130: Giorgi Maisuradze z grupy Microsoft Research; Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco z firmy Intel; Moritz Lipp, Michael Schwarz i Daniel Gruss z uczelni Graz University of Technology; Stephan van Schaik, Alyssa Milburn, Sebastian Osterlund, Pietro Frigo, Kaveh Razavi, Herbert Bos i Cristiano Giuffrida z grupy VUSec uczelni VU Amsterdam; Volodymyr Pikhur; Dan Horea Lutas z firmy BitDefender
CVE-2019-11091: Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco z firmy Intel; Moritz Lipp, Michael Schwarz i Daniel Gruss z uczelni Graz University of Technology
Wpis dodano 14 maja 2019 r.
Zabezpieczenia
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8604: Fluoroacetate w ramach programu Zero Day Initiative firmy Trend Micro
SQLite
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie obsługi pamięci.
CVE-2019-8577: Omer Gull z firmy Checkpoint Research
SQLite
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: złośliwie spreparowane zapytanie SQL może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8600: Omer Gull z firmy Checkpoint Research
SQLite
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: złośliwa aplikacja może odczytać pamięć zastrzeżoną.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8598: Omer Gull z firmy Checkpoint Research
SQLite
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: złośliwa aplikacja może zdobyć podwyższone uprawnienia.
Opis: naprawiono błąd powodujący uszkodzenie pamięci przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2019-8602: Omer Gull z firmy Checkpoint Research
Przesyłanie strumieniowe pliku ZIP
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: lokalny użytkownik może być w stanie zmodyfikować chronione części systemu plików.
Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
sysdiagnose
Dostępne dla: macOS Sierra 10.12.6, macOS Mojave 10.14.4 i macOS High Sierra 10.13.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: błąd naprawiono przez poprawienie procedur obsługi procesów logicznych uprawnień.
CVE-2019-8574: Dayton Pidhirney (@_watbulb) z firmy Seekintoo (@seekintoo)
Wpis uaktualniono 26 marca 2021 r.
Obsługa paska Touch Bar
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8569: Viktor Oreshkin (@stek29)
WebKit
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-6237: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro, Liu Long z Qihoo 360 Vulcan Team
CVE-2019-8571: 01 w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8583: sakura z grupy Tencent Xuanwu Lab, jessica (@babyjess1ca_) z grupy Tencent Keen Lab, dwfault z grupy ADLab firmy Venustech
CVE-2019-8584: G. Geshev z MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8586: anonimowy badacz
CVE-2019-8587: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8594: Suyoung Lee i Sooel Son z firmy KAIST Web Security & Privacy Lab, HyungSeok Han i Sang Kil Cha z grupy SoftSec Lab firmy KAIST
CVE-2019-8595: G. Geshev z MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8596: Wen Xu z grupy SSLab uczelni Georgia Tech
CVE-2019-8597: 01 w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8601: Fluoroacetate w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8608: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8609: Wen Xu z grupy SSLab uczelni Georgia Tech
CVE-2019-8610: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8611: Samuel Groß z Google Project Zero
CVE-2019-8615: G. Geshev z MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8619: Wen Xu z grupy SSLab uczelni Georgia Tech oraz Hanqing Zhao z Chaitin Security Research Lab
CVE-2019-8622: Samuel Groß z Google Project Zero
CVE-2019-8623: Samuel Groß z Google Project Zero
CVE-2019-8628: Wen Xu z grupy SSLab uczelni Georgia Tech oraz Hanqing Zhao z Chaitin Security Research Lab
WebKit
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8607: Junho Jang and Hanul Choi z grupy Security Team firmy LINE
Wi-Fi
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może modyfikować stan sterownika.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2019-8612: Milan Stute z Secure Mobile Networking Lab uczelni Technische Universität Darmstadt
Wpis dodano 14 maja 2019 r.
Dodatkowe podziękowania
CoreAudio
Dziękujemy za udzieloną pomoc: riusksk z VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro.
Wpis dodano 25 lipca 2019 r.
CoreFoundation
Dziękujemy za udzieloną pomoc: m4bln, Xiangqian Zhang, Huiming Liu z Tencent's Xuanwu Lab, Vozzie i Rami.
Wpis uaktualniono 14 maja 2019 r.
Jądro
Dziękujemy za udzieloną pomoc: Denis Kopyrin.
Wpis uaktualniono 14 maja 2019 r.
Oprogramowanie PackageKit
Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit).
Safari
Dziękujemy za udzieloną pomoc: Michael Ball z firmy Gradescope (Turnitin).
Preferencje systemowe
Dziękujemy anonimowemu badaczowi za pomoc.