Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
macOS Catalina 10.15
Wydano 7 października 2019 r.
AMD
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8748: Lilang Wu i Moony Li z TrendMicro Mobile Security Research Team
apache_mod_php
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: liczne błędy w języku PHP.
Opis: naprawiono liczne błędy przez uaktualnienie języka PHP do wersji 7.3.8.
CVE-2019-11041
CVE-2019-11042
Dźwięk
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2019-8706: Yu Zhou z Ant-financial Light-Year Security Lab
Wpis dodano 29 października 2019 r.
Dźwięk
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może spowodować ujawnienie zastrzeżonej pamięci.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8850: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 4 grudnia 2019 r.
Książki
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: analizowanie złośliwie spreparowanego pliku iBooks może doprowadzić do ataku typu „trwała odmowa usługi”.
Opis: naprawiono błąd powodujący wyczerpanie pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8774: Gertjan Franken imec-DistriNet z KU Leuven
Wpis dodano 29 października 2019 r.
CFNetwork
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak XSS (cross-site-scripting).
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2019-8753: Łukasz Pilorz ze Standard Chartered GBS Poland
Wpis dodano 29 października 2019 r.
CoreAudio
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: przetwarzanie złośliwie spreparowanego pliku może spowodować ujawnienie pamięci procesowej.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.
CVE-2019-8705: riusksk z VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
CoreAudio
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: odtworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8592: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 6 listopada 2019 r.
CoreCrypto
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: przetworzenie dużej ilości danych wejściowych mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8741: Nicky Mouha z NIST
Wpis dodano 29 października 2019 r.
CoreMedia
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2019-8825: wykryte przez GWP-ASan w przeglądarce Google Chrome
Wpis dodano 29 października 2019 r.
Crash Reporter
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: ustawienie udostępniania analizy komputera Mac może nie być wyłączone po anulowaniu przez użytkownika wyboru przełącznika udostępniania analizy
Opis: podczas odczytywania i zapisywania preferencji użytkownika występowała sytuacja wyścigu. Ten błąd naprawiono przez poprawienie procedur obsługi stanu.
CVE-2019-8757: William Cerniuk z Core Development, LLC
CUPS
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może ujawnić poufne informacje użytkownika.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8736: Paweł Gocyla z ING Tech Poland (ingtechpoland.com)
Wpis dodano 29 października 2019 r.
CUPS
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: przetworzenie złośliwie spreparowanego ciągu znaków mogło doprowadzić do uszkodzenia sterty.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8767: Stephen Zeisberg
Wpis dodano 29 października 2019 r.
CUPS
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może wykonać atak typu „odmowa usługi”.
Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.
CVE-2019-8737: Paweł Gocyla z ING Tech Poland (ingtechpoland.com)
Wpis dodano 29 października 2019 r.
dyld
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8776: Jann Horn z Google Project Zero
Wpis dodano 3 lutego 2020 r.
Kwarantanna plików
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2019-8509: CodeColorist z Ant-Financial LightYear Labs
Wpis dodano 29 października 2019 r.
Foundation
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8746: Natalie Silvanovich i Samuel Groß z Google Project Zero
Wpis dodano 29 października 2019 r.
Grafika
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: przetwarzanie złośliwie spreparowanego modułu cieniującego może prowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-12152: Piotr Bania z Cisco Talos
CVE-2018-12153: Piotr Bania z Cisco Talos
CVE-2018-12154: Piotr Bania z Cisco Talos
Wpis dodano 29 października 2019 r.
IOGraphics
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8759: another z 360 Nirvan Team
Wpis dodano 29 października 2019 r.
Sterownik graficzny Intel
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8758: Lilang Wu i Moony Li z Trend Micro
IOGraphics
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2019-8755: Lilang Wu i Moony Li z Trend Micro
Jądro
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: aplikacja lokalna może być w stanie odczytać trwały identyfikator konta.
Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.
CVE-2019-8809: Apple
Wpis dodano 29 października 2019 r.
Jądro
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra.
Opis: w procedurze obsługi pakietów IPv6 występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią.
CVE-2019-8744: Zhuo Liang z Qihoo 360 Vulcan Team
Wpis dodano 29 października 2019 r.
Jądro
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8717: Jann Horn z Google Project Zero
Jądro
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
CVE-2019-8781: Linus Henze (pinauten.de)
Wpis uaktualniono 29 października 2019 r.
libxml2
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: wiele błędów w bibliotece libxml2.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8749: wykryte przez OSS-Fuzz
CVE-2019-8756: wykryte przez OSS-Fuzz
Wpis dodano 29 października 2019 r.
libxslt
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: liczne błędy w bibliotece libxslt.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8750: wykryte przez OSS-Fuzz
Wpis dodano 29 października 2019 r.
mDNSResponder
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: osoba atakująca znajdująca się w bliskiej odległości może być w stanie pasywnie obserwować nazwy urządzeń w komunikacji AWDL
Opis: ten błąd naprawiono przez zastąpienie nazw urządzeń losowymi identyfikatorami.
CVE-2019-8799: David Kreitschmann i Milan Stute z Secure Mobile Networking Lab uczelni Technische Universität Darmstadt
Wpis dodano 29 października 2019 r.
Menu
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2019-8826: wykryte przez GWP-ASan w przeglądarce Google Chrome
Wpis dodano 29 października 2019 r.
Notatki
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: użytkownik lokalny może wyświetlić zablokowane notatki użytkownika.
Opis: zawartość zablokowanych notatek pojawiała się czasem w wynikach wyszukiwania. Ten błąd naprawiono przez ulepszenie mechanizmu czyszczenia danych.
CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) z Virginia Polytechnic Institute and State University
PDFKit
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: osoba atakująca może być w stanie uzyskać treść zaszyfrowanego pliku PDF
Opis: w procedurze obsługi łączy w zaszyfrowanym pliku PDF występował błąd. Ten błąd naprawiono przez dodanie monitu o potwierdzenie.
CVE-2019-8772: Jens Müller z Uniwersytetu Ruhry w Bochum, Fabian Ising z Wyższej Szkoły Zawodowej FH Münster, Vladislav Mladenov z Uniwersytetu Ruhry w Bochum, Christian Mainka z Uniwersytetu Ruhry w Bochum, Sebastian Schinzel z Wyższej Szkoły Zawodowej FH Münster i Jörg Schwenk z Uniwersytetu Ruhry w Bochum
PluginKit
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: użytkownik lokalny może być w stanie sprawdzić istnienie dowolnych plików.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2019-8708: anonimowy badacz
Wpis dodano 29 października 2019 r.
PluginKit
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8715: anonimowy badacz
Wpis dodano 29 października 2019 r.
Piaskownica
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: złośliwa aplikacja może uzyskać dostęp do plików objętych ograniczeniami.
Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.
CVE-2019-8855: Apple
Wpis dodano 18 grudnia 2019 r.
SharedFileList
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: złośliwa aplikacja może uzyskać dostęp do ostatnio używanych dokumentów
Opis: błąd naprawiono przez poprawienie procedur obsługi procesów logicznych uprawnień.
CVE-2019-8770: Stanislav Zinukhov z Parallels International GmbH
sips
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8701: Simon Huang(@HuangShaomang), Rong Fan(@fanrong1992) i pjf of IceSword Lab z Qihoo 360
UIFoundation
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: analizowanie złośliwie spreparowanego pliku tekstowego może doprowadzić do ujawnienia informacji o użytkowniku.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2019-8761: Paulos Yibelo z Limehats, Renee Trisberg z SpectX
Wpis uaktualniono 10 sierpnia 2020 r.
UIFoundation
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: przetworzenie złośliwie spreparowanego pliku tekstowego może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8745: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
UIFoundation
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8831: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 18 listopada 2019 r.
WebKit
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie historii przeglądania.
Opis: w procedurze rysowania elementów strony internetowej wstępował błąd. Ten błąd naprawiono przez poprawienie procedur obsługi procesów logicznych.
CVE-2019-8769: Piérre Reimertz (@reimertz)
WebKit
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: użytkownik może nie być w stanie usunąć elementów historii przeglądania.
Opis: polecenie „Wymaż historię i dane witryn” nie powodowało wyczyszczenia historii. Ten błąd naprawiono przez poprawienie mechanizmu usuwania danych.
CVE-2019-8768: Hugo S. Diaz (coldpointblue)
Wi-Fi
Dostępne dla: MacBooka (początek 2015 r. i nowszych), MacBooka Air (połowa 2012 r. i nowszych), MacBooka Pro (połowa 2012 r. i nowszych), komputera Mac mini (koniec 2012 r. i nowszych), komputera iMac (koniec 2012 r. i nowszych), komputera iMac Pro (wszystkich modeli), komputera Mac Pro (koniec 2013 r. i nowszych)
Zagrożenie: urządzenie może być śledzone pasywnie przy użyciu adresu MAC interfejsu Wi-Fi.
Opis: rozwiązano problem z prywatnością użytkowników przez usunięcie rozgłaszania adresu MAC.
CVE-2019-8854: FuriousMacTeam z United States Naval Academy i Mitre Cooperation, Ta-Lun Yen z UCCU Hacker
Wpis dodano 4 grudnia 2019 r., uaktualniono 18 grudnia 2019 r.
Dodatkowe podziękowania
AppleRTC
Dziękujemy za udzieloną pomoc: Vitaly Cheptsov.
Wpis dodano 29 października 2019 r.
Dźwięk
Dziękujemy za udzieloną pomoc: riusksk z VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro.
Wpis dodano 29 października 2019 r.
boringssl
Dziękujemy za udzieloną pomoc: Nimrod Aviram z Tel Aviv University, Robert Merget z Ruhr University Bochum, Juraj Somorovsky z Ruhr University Bochum, Thijs Alkemade (@xnyhps) z Computest.
Wpis dodano 8 października 2019 r., zaktualizowano 29 października 2019 r.
curl
Dziękujemy za udzieloną pomoc: Joseph Barisa z The School District of Philadelphia.
Wpis dodano 3 lutego 2020 r., uaktualniono 11 lutego 2020 r.
Finder
Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit).
Gatekeeper
Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit).
Usługa tożsamości
Dziękujemy za udzieloną pomoc: Yiğit Can YILMAZ (@yilmazcanyigit).
Wpis dodano 29 października 2019 r.
Jądro
Dziękujemy za udzieloną pomoc: Brandon Azad, Vlad Tsyrklevich z Google Project Zero.
Wpis uaktualniono 28 lipca 2020 r.
Uwierzytelnianie lokalne
Dziękujemy za udzieloną pomoc: Ryan Lopopolo.
Wpis dodano 3 lutego 2020 r.
mDNSResponder
Dziękujemy za udzieloną pomoc: Gregor Lang z e.solutions GmbH.
Wpis dodano 29 października 2019 r.
python
Dziękujemy anonimowemu badaczowi za pomoc.
Wpis dodano 29 października 2019 r.
Importowanie danych przeglądarki Safari
Dziękujemy za udzieloną pomoc: Kent Zoya.
Zabezpieczenia
Dziękujemy za udzieloną pomoc: Pepijn Dutour Geerling (pepijn.io), anonimowy badacz.
Wpis dodano 18 listopada 2019 r.
Protokół SCEP (Simple Certificate Enrollment Protocol)
Dziękujemy anonimowemu badaczowi za pomoc.
Siri
Dziękujemy za udzieloną pomoc: Yuval Ron, Amichai Shulman i Eli Biham z Technion of Israel Institute of Technology.
Wpis dodano 4 grudnia 2019 r., uaktualniono 18 grudnia 2019 r.
Telefonia
Dziękujemy za udzieloną pomoc: Phil Stokes z SentinelOne.
VPN
Dziękujemy za udzieloną pomoc: Royce Gawron z Second Son Consulting, Inc.
Wpis dodano 29 października 2019 r.