Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Catalina 10.15.2, actualizarea de securitate 2019-002 Mojave și actualizarea de securitate 2019-007 High Sierra
Publicare: 10 decembrie 2019
ATS
Disponibilitate pentru: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impact: este posibil ca o aplicație rău-intenționată să poată accesa fișierele restricționate
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2019-8837: Csaba Fitzl (@theevilbit)
Intrare actualizată pe 18 decembrie 2019
Bluetooth
Disponibilitate pentru: macOS Catalina 10.15
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2019-8853: Jianjun Dai (Qihoo 360 Alpha Lab)
CallKit
Disponibilitate pentru: macOS Catalina 10.15
Impact: apelurile efectuate cu Siri pot fi inițiate utilizând planul de date celulare incorect pe dispozitivele cu două planuri active
Descriere: a existat o problemă legată de API în tratarea apelurilor efectuate inițiate cu Siri. Această problemă a fost rezolvată prin îmbunătățirea tratării stării.
CVE-2019-8856: Fabrice TERRANCLE (TERRANCLE SARL)
Servere proxy CFNetwork
Disponibilitate pentru: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2019-8848: Zhuo Liang (Qihoo 360 Vulcan Team)
Intrare actualizată pe 18 decembrie 2019
CFNetwork
Disponibilitate pentru: macOS Catalina 10.15
Impact: un atacator cu o poziție privilegiată în rețea poate reuși să evite HSTS pentru un anumit număr de domenii de nivel superior specifice, care nu se aflau anterior în lista de preîncărcare HSTS
Descriere: o problemă de configurare a fost rezolvată prin restricții suplimentare.
CVE-2019-8834: Rob Sayre (@sayrer)
Adăugare intrare: 3 februarie 2020
CUPS
Disponibilitate pentru: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impact: în anumite configurații, un atacator de la distanță poate reuși să trimită sarcini de tipărire arbitrare
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2019-8842: Niky1235 (China Mobile)
Intrare actualizată pe 18 decembrie 2019
CUPS
Disponibilitate pentru: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impact: un atacator în poziție privilegiată ar putea iniția un atac de refuzare a serviciului
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2019-8839: Stephan Zeisberg (Security Research Labs)
Intrare actualizată pe 18 decembrie 2019
FaceTime
Disponibilitate pentru: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impact: procesarea de clipuri video rău intenționate prin FaceTime poate duce la executarea arbitrară de cod
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2019-8830: natashenka (Google Project Zero)
Intrare actualizată pe 18 decembrie 2019
IOGraphics
Disponibilitate pentru: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impact: un computer Mac poate să nu se blocheze imediat după trezire
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2019-8851: Vladik Khononov (DoiT International)
Adăugare intrare: 3 februarie 2020
Kernel
Disponibilitate pentru: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin eliminarea codului vulnerabil.
CVE-2019-8833: Ian Beer (Google Project Zero)
Intrare actualizată pe 18 decembrie 2019
Kernel
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2019-8828: Cim Stordal (Cognite)
CVE-2019-8838: Dr. Silvio Cesare (InfoSect)
CVE-2019-8847: Apple
CVE-2019-8852: pattern-f (@pattern_F_) de la WaCai
libexpat
Disponibilitate pentru: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impact: analizarea unui fișier XML creat cu rea intenție poate cauza divulgarea informațiilor despre utilizator
Descriere: această problemă a fost rezolvată prin actualizarea la expat versiunea 2.2.8.
CVE-2019-15903: Joonun Jang
Intrare actualizată pe 18 decembrie 2019
Note
Disponibilitate pentru: macOS Catalina 10.15
Impact: un atacator de la distanță poate suprascrie fișiere existente
Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.
CVE-2020-9782: Allison Husain (UC Berkeley)
Adăugare intrare: 4 aprilie 2020
OpenLDAP
Disponibilitate pentru: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impact: probleme multiple în OpenLDAP
Descriere: mai multe probleme au fost tratate prin actualizarea OpenLDAP la versiunea 2.4.28.
CVE-2012-1164
CVE-2012-2668
CVE-2013-4449
CVE-2015-1545
CVE-2019-13057
CVE-2019-13565
Intrare actualizată pe 3 februarie 2020
Securitate
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2019-8832: Insu Yun de la SSLab, Georgia Tech
tcpdump
Disponibilitate pentru: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impact: probleme multiple în tcpdump
Descriere: mai multe probleme au fost tratate prin actualizarea tcpdump la versiunea 4.9.3 și libpcap la versiunea 1.9.1
CVE-2017-16808
CVE-2018-10103
CVE-2018-10105
CVE-2018-14461
CVE-2018-14462
CVE-2018-14463
CVE-2018-14464
CVE-2018-14465
CVE-2018-14466
CVE-2018-14467
CVE-2018-14468
CVE-2018-14469
CVE-2018-14470
CVE-2018-14879
CVE-2018-14880
CVE-2018-14881
CVE-2018-14882
CVE-2018-16227
CVE-2018-16228
CVE-2018-16229
CVE-2018-16230
CVE-2018-16300
CVE-2018-16301
CVE-2018-16451
CVE-2018-16452
CVE-2019-15166
CVE-2019-15167
Intrare actualizată pe 11 februarie 2020
Wi-Fi
Disponibilitate pentru: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impact: este posibil ca un atacator din raza rețelei Wi-Fi să vadă un mic volum al traficului în rețea
Descriere: a existat o problemă logică la tratarea tranzițiilor de stare. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2019-15126: Milos Cermak la ESET
Adăugare intrare: 27 februarie 2020
Alte mențiuni
Conturi
Dorim să le mulțumim lui Allison Husain (UC Berkeley), Kishan Bagaria (KishanBagaria.com), Tom Snelling (Loughborough University) pentru asistența acordată.
Intrare actualizată pe 4 aprilie 2020
Date de bază
Dorim să îi mulțumim lui natashenka (Google Project Zero) pentru asistența acordată.
Finder
Dorim să-i mulțumim pentru asistență lui Csaba Fitzl (@theevilbit).
Adăugare intrare: 18 decembrie 2019
Kernel
Dorim să-i mulțumim lui Daniel Roethlisberger (Swisscom CSIRT) pentru asistența acordată.
Adăugare intrare: 18 decembrie 2019