Сведения о проблемах системы безопасности, устраняемых обновлением ОС macOS Catalina 10.15

В этом документе описываются проблемы системы безопасности, устраняемые обновлением ОС macOS Catalina 10.15.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения о безопасности можно найти на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

ОС macOS Catalina 10.15

Дата выпуска: 7 октября 2019 г.

AMD

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8748: Лиланг Ву (Lilang Wu) и Муни Ли (Moony Li) из отдела безопасности мобильных устройств компании Trend Micro

apache_mod_php

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Обнаружен ряд проблем в PHP.

Описание. Проблемы устранены путем обновления до версии PHP 7.3.8.

CVE-2019-11041

CVE-2019-11042

Звук

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2019-8706: Ю Чжоу (Yu Zhou) из отдела безопасности Ant-financial Light-Year

Запись добавлена 29 октября 2019 г.

Звук

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Обработка вредоносного аудиофайла может приводить к раскрытию области памяти с ограниченным доступом.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2019-8850: пользователь Anonymous, сотрудничающий с Trend Micro в рамках программы Zero Day Initiative

Запись добавлена 4 декабря 2019 г.

Книги

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Обработка вредоносного файла iBooks может приводить к постоянному отказу в обслуживании.

Описание. Проблема с исчерпанием ресурсов устранена путем улучшенной проверки ввода.

CVE-2019-8774: Гертьян Франкен (Gertjan Franken) из исследовательской группы imec-DistriNet при Лёвенском католическом университете

Запись добавлена 29 октября 2019 г.

CFNetwork

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Обработка вредоносного веб-содержимого может приводить к атаке с использованием межсайтовых сценариев.

Описание. Проблема устранена путем улучшения проверок.

CVE-2019-8753: Лукаш Пилорц (Łukasz Pilorz) из польского подразделения Standard Chartered GBS

Запись добавлена 29 октября 2019 г.

CoreAudio

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Обработка вредоносного фильма может привести к раскрытию памяти процесса.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.

CVE-2019-8705: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

CoreAudio

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Воспроизведение вредоносного аудиофайла может привести к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2019-8592: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

Запись добавлена 6 ноября 2019 г.

CoreCrypto

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Обработка большого объема входящих данных может приводить к отказу в обслуживании.

Описание. Проблема отказа в обслуживании устранена путем улучшенной проверки ввода.

CVE-2019-8741: Ники Моуха (Nicky Mouha) из Национального института стандартов и технологий США (National Institute of Standards and Technology, NIST)

Запись добавлена 29 октября 2019 г.

CoreMedia

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2019-8825: обнаружено с помощью инструмента GWP-ASan в браузере Google Chrome

Запись добавлена 29 октября 2019 г.

Crash Reporter

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Функция «Делиться Аналитикой Mac» может не отключаться, когда пользователь снимает соответствующий флажок.

Описание. При чтении и записи пользовательских настроек возникало условие состязания. Проблема устранена путем усовершенствования управления состояниями.

CVE-2019-8757: Уильям Чернюк (William Cerniuk) из Core Development, LLC

CUPS

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Злоумышленник с преимущественным положением в сети может вызвать утечку конфиденциальной информации пользователя.

Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.

CVE-2019-8736: Павел Гоцула (Pawel Gocyla) из ING Tech Poland (ingtechpoland.com)

Запись добавлена 29 октября 2019 г.

CUPS

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Обработка вредоносной строки может приводить к повреждению динамической памяти.

Описание. Проблема с использованием памяти устранена путем улучшенной обработки обращений к памяти.

CVE-2019-8767: Штефен Цайзберг (Stephen Zeisberg)

Запись добавлена 29 октября 2019 г.

CUPS

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Злоумышленник с преимущественным положением в сети может вызвать отказ в обслуживании.

Описание. Проблема отказа в обслуживании устранена путем улучшенной проверки.

CVE-2019-8737: Павел Гоцула (Pawel Gocyla) из ING Tech Poland (ingtechpoland.com)

Запись добавлена 29 октября 2019 г.

dyld

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8776: Янн Хорн (Jann Horn) из подразделения Google Project Zero

Запись добавлена 3 февраля 2020 г.

Карантин файлов

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Вредоносное приложение может повышать уровень привилегий.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2019-8509: пользователь CodeColorist из Ant-Financial Light-Year Labs

Запись добавлена 29 октября 2019 г.

Платформа

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Злоумышленник может удаленно вызвать неожиданное завершение работы приложения или выполнение произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2019-8746: Натали Сильванович (Natalie Silvanovich) и Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero

Запись добавлена 29 октября 2019 г.

Графика

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Обработка вредоносного шейдера может приводить к неожиданному завершению работы приложения или произвольному выполнению кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной проверки ввода.

CVE-2018-12152: Петр Банья (Piotr Bania) из Cisco Talos

CVE-2018-12153: Петр Банья (Piotr Bania) из Cisco Talos

CVE-2018-12154: Петр Банья (Piotr Bania) из Cisco Talos

Запись добавлена 29 октября 2019 г.

IOGraphics

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Локальный пользователь может вызывать неожиданное завершение работы системы или считывать память ядра.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2019-8759: пользователь another из группы Nirvan в Qihoo 360

Запись добавлена 29 октября 2019 г.

Драйвер видеокарты Intel

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8758: Лиланг Ву (Lilang Wu) и Муни Ли (Moony Li) из Trend Micro

IOGraphics

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Вредоносное приложение может выявлять схему распределения памяти в ядре.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2019-8755: Лиланг Ву (Lilang Wu) и Муни Ли (Moony Li) из Trend Micro

Ядро

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Локальное приложение может считывать постоянный идентификатор учетной записи.

Описание. Проблема с проверкой устранена путем улучшения логики.

CVE-2019-8809: специалисты Apple

Запись добавлена 29 октября 2019 г.

Ядро

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Вредоносное приложение может выявлять схему распределения памяти в ядре.

Описание. При обработке пакетов IPv6 возникала проблема повреждения памяти. Проблема устранена путем улучшенного управления памятью.

CVE-2019-8744: Чжуо Лиан (Zhuo Liang) из группы Vulcan в Qihoo 360

Запись добавлена 29 октября 2019 г.

Ядро

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8717: Янн Хорн (Jann Horn) из подразделения Google Project Zero

Ядро

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2019-8709: пользователь derrek (@derrekr6)

CVE-2019-8781: Линус Хенце (Linus Henze, pinauten.de)

Запись обновлена 29 октября 2019 г.

libxml2

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Обнаружен ряд проблем в библиотеке libxml2.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной проверки ввода.

CVE-2019-8749: обнаружено с помощью инструмента OSS-Fuzz

CVE-2019-8756: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 29 октября 2019 г.

Библиотека libxslt

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Обнаружен ряд проблем в библиотеке libxslt.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной проверки ввода.

CVE-2019-8750: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 29 октября 2019 г.

mDNSResponder

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Злоумышленник, находящийся близко физически, может пассивно наблюдать за именами устройств при взаимодействии по протоколу AWDL.

Описание. Проблема устранена путем замены имен устройств случайными идентификаторами.

CVE-2019-8799: Давид Крейчман (David Kreitschmann) и Милан Штуте (Milan Stute) из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете

Запись добавлена 29 октября 2019 г.

Меню

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2019-8826: обнаружено с помощью инструмента GWP-ASan в браузере Google Chrome

Запись добавлена 29 октября 2019 г.

Примечания

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Локальный пользователь может просматривать заблокированные заметки пользователя.

Описание. Содержимое заблокированных заметок иногда отображалось в результатах поиска. Проблема устранена путем улучшенной очистки данных.

CVE-2019-8730: Джейми Блумберг (Jamie Blumberg, @jamie_blumberg) из Политехнического университета Виргинии и университета штата

PDFKit

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Злоумышленник может получить доступ к содержимому зашифрованных PDF-файлов.

Описание. При обработке ссылок в зашифрованных PDF-файлах возникала проблема. Проблема устранена путем добавления запроса на подтверждение.

CVE-2019-8772: Йенс Мюллер (Jens Müller), Владислав Младенов (Vladislav Mladenov), Кристиан Маинка (Christian Mainka) и Йорг Швенк (Jörg Schwenk) из Рурского университета в Бохуме, Фабиан Изинг (Fabian Ising) и Себастиан Шинцель (Sebastian Schinzel) из Мюнстерского университета прикладных наук

PluginKit

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Локальный пользователь может проверять существование произвольных файлов.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2019-8708: анонимный исследователь

Запись добавлена 29 октября 2019 г.

PluginKit

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8715: анонимный исследователь

Запись добавлена 29 октября 2019 г.

Изолированная среда

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Вредоносное приложение может получить доступ к файлам, предназначенным для ограниченного использования.

Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.

CVE-2019-8855: специалисты Apple

Запись добавлена 18 декабря 2019 г.

SharedFileList

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Вредоносное приложение может получить доступ к недавно использованным документам.

Описание. Проблема устранена посредством улучшения логики разрешений.

CVE-2019-8770: Станислав Зинухов (Stanislav Zinukhov) из Parallels International GmbH

sips

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8701: Саймон Хуанг (Simon Huang, @HuangShaomang), Ронг Фэн (Rong Fan, @fanrong1992) и пользователь pjf из подразделения IceSword Lab в Qihoo 360

UIFoundation

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Анализ вредоносного текстового файла может привести к раскрытию информации пользователя.

Описание. Проблема устранена путем улучшения проверок.

CVE-2019-8761: Паулос Йибело (Paulos Yibelo) из Limehats, Рени Трисберг (Renee Trisberg) из SpectX

Запись обновлена 10 августа 2020 г.

UIFoundation

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Обработка вредоносного текстового файла могла привести к выполнению произвольного кода.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

CVE-2019-8745: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

UIFoundation

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8831: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

Запись добавлена 18 ноября 2019 г.

WebKit

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Посещение вредоносного веб-сайта может привести к раскрытию истории просмотров.

Описание. Проблема возникала при отрисовке элементов веб-страниц. Проблема решена путем улучшения логики.

CVE-2019-8769: Пьер Реймерц (Piérre Reimertz, @reimertz)

WebKit

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Пользователь не всегда может полностью удалить историю просмотров.

Описание. Команда «Очистить историю и данные» не очищала историю. Проблема устранена путем улучшения технологии очистки данных.

CVE-2019-8768: Хьюго С. Диас (Hugo S. Diaz, coldpointblue)

Wi-Fi

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели).

Воздействие. Устройство может быть пассивно отслежено по MAC-адресу Wi-Fi-адаптера.

Описание. Проблема с конфиденциальностью пользователя устранена посредством удаления транслированного MAC-адреса.

CVE-2019-8854: команда FuriousMacTeam из Военно-морской академии США и компании The Mitre Corporation, Та-Лунь Йен (Ta-Lun Yen) из UCCU Hacker

Запись добавлена 4 декабря 2019 г., обновлена 18 декабря 2019 г.

Дополнительные благодарности

AppleRTC

Выражаем благодарность за помощь Виталию Чепцову (Vitaly Cheptsov).

Запись добавлена 29 октября 2019 г.

Звук

Выражаем благодарность за помощь пользователю riusksk из компании VulWar Corp, сотрудничающему с компанией Trend Micro в рамках программы Zero Day Initiative.

Запись добавлена 29 октября 2019 г.

boringssl

Выражаем благодарность за помощь Нимроду Авираму (Nimrod Aviram) из Тель-Авивского университета, Роберту Мергету (Robert Merget) и Юраю Соморовскому (Juraj Somorovsky) из Рурского университета в Бохуме, а также Тийсу Алкемаде (Thijs Alkemade, @xnyhps) из Computest.

Запись добавлена 8 октября 2019 г., обновлена 29 октября 2019 г.

curl

Выражаем благодарность за помощь Джозефу Барисе (Joseph Barisa) из Филадельфийского школьного округа.

Запись добавлена 3 февраля 2020 г., обновлена 11 февраля 2020 г.

Finder

Выражаем благодарность за помощь Чабе Фицлю (Csaba Fitzl, @theevilbit).

Gatekeeper

Выражаем благодарность за помощь Чабе Фицлю (Csaba Fitzl, @theevilbit).

Служба идентификации

Выражаем благодарность за помощь Йигиту Кану Йилмазу (Yiğit Can YILMAZ, @yilmazcanyigit).

Запись добавлена 29 октября 2019 г.

Ядро

Выражаем благодарность за помощь Брэндону Азаду (Brandon Azad) из подразделения Google Project Zero и Владу Цирклевичу (Vlad Tsyrklevich).

Запись обновлена 28 июля 2020 г.

Локальная аутентификация

Выражаем благодарность за помощь Райану Лопополо (Ryan Lopopolo).

Запись добавлена 3 февраля 2020 г.

mDNSResponder

Выражаем благодарность за помощь Грегору Лангу (Gregor Lang) из e.solutions GmbH.

Запись добавлена 29 октября 2019 г.

Python

Выражаем благодарность за помощь анонимному исследователю.

Запись добавлена 29 октября 2019 г.

Импорт данных в Safari

Выражаем благодарность за помощь Кенту Зойе (Kent Zoya).

Безопасность

Выражаем благодарность за помощь Пепейну Дютуру Герлингу (Pepijn Dutour Geerling, pepijn.io), анонимному исследователю.

Запись добавлена 18 ноября 2019 г.

Протокол простой регистрации сертификатов (SCEP)

Выражаем благодарность за помощь анонимному исследователю.

Siri

Выражаем благодарность за помощь Ювалу Рону (Yuval Ron), Амихаю Шульману (Amichai Shulman) и Эли Бихаму (Eli Biham) из Техниона — Израильского технологического института.

Запись добавлена 4 декабря 2019 г., обновлена 18 декабря 2019 г.

Телефония

Выражаем благодарность за помощь Филу Стоуксу (Phil Stokes) из SentinelOne.

VPN

Выражаем благодарность за помощь Ройсу Горону (Royce Gawron) из Second Son Consulting, Inc.

Запись добавлена 29 октября 2019 г.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: