Сведения о проблемах системы безопасности, устраняемых обновлением macOS Catalina 10.15

В этом документе описываются проблемы системы безопасности, устраняемые обновлением macOS Catalina 10.15.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности см. на странице, посвященной безопасности продуктов Apple.

ОС macOS Catalina 10.15

Дата выпуска: 7 октября 2019 г.

AMD

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8748: Lilang Wu и Moony Li из отдела исследования безопасности мобильных устройств компании Trend Micro

apache_mod_php

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Обнаружен ряд проблем в PHP.

Описание. Проблемы устранены путем обновления до версии PHP 7.3.8.

CVE-2019-11041

CVE-2019-11042

Audio

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2019-8706: Yu Zhou из Ant-Financial Light-Year Security Lab

Запись добавлена 29 октября 2019 г.

Audio

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Обработка вредоносного аудиофайла может приводить к раскрытию области памяти с ограниченным доступом.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2019-8850: анонимный исследователь, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

Запись добавлена 4 декабря 2019 г.

Books

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Обработка вредоносного файла iBooks может приводить к постоянному отказу в обслуживании.

Описание. Проблема с исчерпанием ресурсов устранена путем улучшения проверки ввода.

CVE-2019-8774: Gertjan Franken из группы imec-DistriNet Левенского университета

Запись добавлена 29 октября 2019 г.

CFNetwork

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Обработка вредоносного веб-содержимого может приводить к атаке с использованием межсайтовых сценариев.

Описание. Проблема устранена путем улучшения проверок.

CVE-2019-8753: Łukasz Pilorz из польского подразделения Standard Chartered GBS

Запись добавлена 29 октября 2019 г.

CoreAudio

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Обработка вредоносного фильма может приводить к раскрытию памяти процессов.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.

CVE-2019-8705: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

CoreAudio

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Воспроизведение вредоносного аудиофайла может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2019-8592: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

Запись добавлена 6 ноября 2019 г.

CoreCrypto

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Обработка большого объема входящих данных может приводить к отказу в обслуживании.

Описание. Проблема отказа в обслуживании устранена путем улучшенной проверки ввода.

CVE-2019-8741: Nicky Mouha из Национального института стандартов и технологий США (National Institute of Standards and Technology, NIST)

Запись добавлена 29 октября 2019 г.

CoreMedia

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2019-8825: обнаружено с помощью инструмента GWP-ASan в браузере Google Chrome

Запись добавлена 29 октября 2019 г.

Crash Reporter

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Функция «Делиться Аналитикой Mac» может не отключаться, когда пользователь снимает соответствующий флажок.

Описание. При чтении и записи пользовательских настроек возникало условие состязания. Проблема устранена путем улучшения управления состояниями.

CVE-2019-8757: William Cerniuk из Core Development, LLC

CUPS

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может вызвать утечку конфиденциальных данных пользователя.

Описание. Проблема проверки ввода устранена путем улучшения проверки ввода.

CVE-2019-8736: Pawel Gocyla из ING Tech Poland (ingtechpoland.com)

Запись добавлена 29 октября 2019 г.

CUPS

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Обработка вредоносной строки может приводить к повреждению динамической памяти.

Описание. Проблема с использованием памяти устранена путем улучшения обработки обращений к памяти.

CVE-2019-8767: Stephen Zeisberg

Запись добавлена 29 октября 2019 г.

CUPS

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Злоумышленник с преимущественным положением в сети может вызвать отказ в обслуживании.

Описание. Проблема отказа в обслуживании устранена путем улучшения проверки.

CVE-2019-8737: Pawel Gocyla из ING Tech Poland (ingtechpoland.com)

Запись добавлена 29 октября 2019 г.

dyld

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8776: Jann Horn из подразделения Google Project Zero

Запись добавлена 3 февраля 2020 г.

File Quarantine

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Вредоносное приложение может повышать уровень привилегий.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2019-8509: пользователь CodeColorist из Ant-Financial Light-Year Labs

Запись добавлена 29 октября 2019 г.

Foundation

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Злоумышленник может удаленно вызвать неожиданное завершение работы приложения или выполнение произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2019-8746: пользователь natashenka и Samuel Groß из подразделения Google Project Zero

Запись добавлена 29 октября 2019 г.

Graphics

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Обработка вредоносного шейдера может приводить к неожиданному завершению работы приложения или произвольному выполнению кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения проверки ввода.

CVE-2018-12152: Piotr Bania из Cisco Talos

CVE-2018-12153: Piotr Bania из Cisco Talos

CVE-2018-12154: Piotr Bania из Cisco Talos

Запись добавлена 29 октября 2019 г.

IOGraphics

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Локальный пользователь может вызывать неожиданное завершение работы системы или считывать память ядра.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2019-8759: пользователь another из группы Nirvan в Qihoo 360

Запись добавлена 29 октября 2019 г.

Intel Graphics Driver

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8758: Lilang Wu и Moony Li из Trend Micro

IOGraphics

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Вредоносное приложение может выявлять схему распределения памяти в ядре.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2019-8755: Lilang Wu и Moony Li из Trend Micro

Kernel

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Приложение может получить повышенные привилегии.

Описание. Проблема устранена с помощью улучшенных разрешений.

CVE-2019-8703: анонимный исследователь

Запись добавлена 16 марта 2021 г.

Kernel

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Локальное приложение может считывать постоянный идентификатор учетной записи.

Описание. Проблема с проверкой устранена путем улучшения логики.

CVE-2019-8809: специалисты Apple

Запись добавлена 29 октября 2019 г.

Kernel

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Вредоносное приложение может выявлять схему распределения памяти в ядре.

Описание. При обработке пакетов IPv6 возникала проблема повреждения памяти. Проблема устранена путем улучшенного управления памятью.

CVE-2019-8744: Zhuo Liang из группы Vulcan в Qihoo 360

Запись добавлена 29 октября 2019 г.

Kernel

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8717: Jann Horn из подразделения Google Project Zero

Kernel

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2019-8709: пользователь derrek (@derrekr6)

CVE-2019-8781: Linus Henze (pinauten.de)

Запись обновлена 29 октября 2019 г.

libxml2

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Обнаружен ряд проблем в библиотеке libxml2.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения проверки ввода.

CVE-2019-8749: обнаружено с помощью инструмента OSS-Fuzz

CVE-2019-8756: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 29 октября 2019 г.

libxslt

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Обнаружен ряд проблем в библиотеке libxslt.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения проверки ввода.

CVE-2019-8750: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 29 октября 2019 г.

mDNSResponder

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Злоумышленник, находящийся близко физически, может пассивно наблюдать за именами устройств при взаимодействии по протоколу AWDL.

Описание. Проблема устранена путем замены имен устройств случайными идентификаторами.

CVE-2019-8799: David Kreitschmann и Milan Stute из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете

Запись добавлена 29 октября 2019 г.

Menus

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2019-8826: обнаружено с помощью инструмента GWP-ASan в браузере Google Chrome

Запись добавлена 29 октября 2019 г.

Notes

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Локальный пользователь может просматривать заблокированные заметки пользователя.

Описание. Содержимое заблокированных заметок иногда отображалось в результатах поиска. Проблема устранена путем улучшения очистки данных.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) из Политехнического университета Виргинии и университета штата

PDFKit

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Злоумышленник может получить доступ к содержимому зашифрованных PDF-файлов.

Описание. При обработке ссылок в зашифрованных PDF-файлах возникала проблема. Проблема устранена путем добавления запроса на подтверждение.

CVE-2019-8772: Jens Müller, Vladislav Mladenov, Christian Mainka и Jörg Schwenk из Рурского университета в Бохуме, Fabian Ising и Sebastian Schinzel из Мюнстерского университета прикладных наук

PluginKit

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Локальный пользователь может проверять существование произвольных файлов.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2019-8708: анонимный исследователь

Запись добавлена 29 октября 2019 г.

PluginKit

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8715: анонимный исследователь

Запись добавлена 29 октября 2019 г.

Sandbox

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Вредоносное приложение может получить доступ к файлам, предназначенным для ограниченного использования.

Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.

CVE-2019-8855: специалисты Apple

Запись добавлена 18 декабря 2019 г.

SharedFileList

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Вредоносное приложение может получить доступ к недавно использованным документам.

Описание. Проблема устранена путем улучшения логики разрешений.

CVE-2019-8770: Stanislav Zinukhov из Parallels International GmbH

sips

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) и пользователь pjf из подразделения IceSword Lab в Qihoo 360

UIFoundation

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Анализ вредоносного текстового файла может приводить к раскрытию информации пользователя.

Описание. Проблема устранена путем улучшения проверок.

CVE-2019-8761: Renee Trisberg из SpectX

Запись обновлена 10 августа 2020 г. и 21 июля 2021 г.

UIFoundation

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Обработка вредоносного текстового файла может приводить к выполнению произвольного кода.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

CVE-2019-8745: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

UIFoundation

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8831: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

Запись добавлена 18 ноября 2019 г.

WebKit

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Посещение вредоносного веб-сайта может приводить к раскрытию истории просмотров.

Описание. Проблема возникала при отрисовке элементов веб-страниц. Проблема устранена путем улучшения логики.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Пользователь не всегда может полностью удалить историю просмотров.

Описание. Команда «Очистить историю и данные» не очищала историю. Проблема устранена путем улучшения технологии очистки данных.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Wi-Fi

Целевые продукты: MacBook (начало 2015 г. или новее), MacBook Air (середина 2012 г. или новее), MacBook Pro (середина 2012 г. или новее), Mac mini (конец 2012 г. или новее), iMac (конец 2012 г. или новее), iMac Pro (все модели), Mac Pro (конец 2013 г. или новее)

Воздействие. Устройство может быть пассивно отслежено по MAC-адресу Wi-Fi-адаптера.

Описание. Проблема с конфиденциальностью пользователя устранена посредством удаления транслированного MAC-адреса.

CVE-2019-8854: команда FuriousMacTeam из Военно-морской академии США и компании The Mitre Corporation, Ta-Lun Yen из UCCU Hacker

Запись добавлена 4 декабря 2019 г., обновлена 18 декабря 2019 г.

Дополнительные благодарности

AppleRTC

Благодарим за помощь Vitaly Cheptsov.

Запись добавлена 29 октября 2019 г.

Audio

Благодарим за помощь пользователя riusksk из VulWar Corp, сотрудничающего с компанией Trend Micro в рамках программы Zero Day Initiative.

Запись добавлена 29 октября 2019 г.

boringssl

Благодарим за помощь Nimrod Aviram из Тель-Авивского университета, Robert Merget и Juraj Somorovsky из Рурского университета в Бохуме, а также Thijs Alkemade (@xnyhps) из Computest.

Запись добавлена 8 октября 2019 г., обновлена 29 октября 2019 г.

curl

Благодарим за помощь Joseph Barisa из Филадельфийского школьного округа.

Запись добавлена 3 февраля 2020 г., обновлена 11 февраля 2020 г.

Finder

Благодарим за помощь Csaba Fitzl (@theevilbit).

Gatekeeper

Благодарим за помощь Csaba Fitzl (@theevilbit).

Identity Service

Выражаем благодарность за помощь Йигиту Кану Йилмазу (Yiğit Can YILMAZ, @yilmazcanyigit).

Запись добавлена 29 октября 2019 г.

Kernel

Благодарим за помощь Brandon Azad из подразделения Google Project Zero и Vlad Tsyrklevich.

Запись обновлена 28 июля 2020 г.

Local Authentication

Благодарим за помощь Ryan Lopopolo.

Запись добавлена 3 февраля 2020 г.

mDNSResponder

Благодарим за помощь Gregor Lang из e.solutions GmbH.

Запись добавлена 29 октября 2019 г.

Python

Выражаем благодарность за помощь анонимному исследователю.

Запись добавлена 29 октября 2019 г.

Safari Data Importing

Благодарим за помощь Kent Zoya.

Security

Благодарим за помощь Pepijn Dutour Geerling (pepijn.io) и анонимного исследователя.

Запись добавлена 18 ноября 2019 г.

Simple certificate enrollment protocol (SCEP)

Выражаем благодарность за помощь анонимному исследователю.

Siri

Благодарим за помощь Yuval Ron, Amichai Shulman и Eli Biham из Техниона — Израильского технологического института.

Запись добавлена 4 декабря 2019 г., обновлена 18 декабря 2019 г.

Telephony

Благодарим за помощь Phil Stokes из SentinelOne.

VPN

Благодарим за помощь Royce Gawron из Second Son Consulting, Inc.

Запись добавлена 29 октября 2019 г.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: