Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности см. на странице, посвященной безопасности продуктов Apple.
macOS Catalina 10.15.1, обновления системы безопасности 2019-001 и 2019-006
Дата выпуска: 29 октября 2019 г.
Accounts
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Воздействие. Злоумышленник может удаленно инициировать утечку памяти.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2019-8787: Steffen Klee из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете
Запись обновлена 11 февраля 2020 г.
Accounts
Целевые продукты: macOS Mojave 10.14.6 и macOS High Sierra 10.13.6
Воздействие. При работе в режиме «Для всех» переданные по AirDrop файлы могут быть неожиданно приняты.
Описание. Проблема с логикой устранена путем улучшенной проверки.
CVE-2019-8796: Allison Husain из Калифорнийского университета в Беркли (UC Berkeley)
Запись добавлена 4 апреля 2020 г.
AirDrop
Целевые продукты: macOS Catalina 10.15
Воздействие. При работе в режиме «Для всех» переданные по AirDrop файлы могут быть неожиданно приняты.
Описание. Проблема с логикой устранена путем улучшенной проверки.
CVE-2019-8796: Allison Husain из Калифорнийского университета в Беркли (UC Berkeley)
Запись добавлена 4 апреля 2020 г.
AMD
Целевые продукты: macOS Mojave 10.14.6 и macOS High Sierra 10.13.6
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2019-8748: Lilang Wu и Moony Li из отдела исследования безопасности мобильных устройств компании Trend Micro
Запись добавлена 11 февраля 2020 г.
apache_mod_php
Целевые продукты: macOS Mojave 10.14.6 и macOS High Sierra 10.13.6
Воздействие. Обнаружен ряд проблем в PHP.
Описание. Проблемы устранены путем обновления до версии PHP 7.3.8.
CVE-2019-11041
CVE-2019-11042
Запись добавлена 11 февраля 2020 г.
APFS
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.
CVE-2019-8824: пользователь Mac, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 11 февраля 2020 г.
App Store
Целевые продукты: macOS Catalina 10.15
Воздействие. Локальный злоумышленник может войти в учетную запись предыдущего пользователя без действительных учетных данных.
Описание. Проблема с аутентификацией устранена путем улучшенного управления состояниями.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleGraphicsControl
Целевые продукты: macOS Catalina 10.15
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с проверкой устранена путем улучшения очистки ввода.
CVE-2019-8817: Arash Tohidi
AppleGraphicsControl
Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2019-8716: Zhiyi Zhang из подразделения Codesafe компании Legendsec группы Qi'anxin, Zhuo Liang из группы Vulcan в Qihoo 360
Associated Domains
Целевые продукты: macOS Catalina 10.15
Воздействие. Ненадлежащая обработка URL-адреса может приводить к утечке данных.
Описание. Возникала проблема при анализе URL-адресов. Эта проблема устранена путем улучшенной проверки ввода.
CVE-2019-8788: Juha Lindstedt из Pakastin, Mirko Tanania и Rauli Rikama из Zero Keyboard Ltd
Audio
Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6
Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.
CVE-2019-8706: Yu Zhou из Ant-Financial Light-Year Security Lab
Audio
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2019-8785: Ian Beer из подразделения Google Project Zero
CVE-2019-8797: пользователь 08Tc3wBB, сотрудничающий с компанией SSD Secure Disclosure
Запись обновлена 11 февраля 2020 г.
Audio
Целевые продукты: macOS Mojave 10.14.6 и macOS High Sierra 10.13.6
Воздействие. Обработка вредоносного аудиофайла может приводить к раскрытию области памяти с ограниченным доступом.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2019-8850: анонимный исследователь, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Запись обновлена 18 декабря 2019 г.
Books
Целевые продукты: macOS Catalina 10.15
Воздействие. Обработка вредоносного файла iBooks может приводить к раскрытию информации пользователя.
Описание. При обработке символьных ссылок возникала проблема проверки. Проблема устранена путем улучшенной проверки символьных ссылок.
CVE-2019-8789: Gertjan Franken из группы imec-DistriNet Левенского университета
Contacts
Целевые продукты: macOS Catalina 10.15
Воздействие. Обработка вредоносного контакта может приводить к подмене пользовательского интерфейса.
Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.
CVE-2017-7152: Oliver Paukstadt из Thinking Objects GmbH (to.com)
CoreAudio
Целевые продукты: macOS Mojave 10.14.6 и macOS High Sierra 10.13.6
Воздействие. Воспроизведение вредоносного аудиофайла может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2019-8592: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 6 ноября 2019 г.
CoreAudio
Целевые продукты: macOS Mojave 10.14.6 и macOS High Sierra 10.13.6
Воздействие. Обработка вредоносного фильма может приводить к раскрытию памяти процессов.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.
CVE-2019-8705: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 11 февраля 2020 г.
CoreMedia
Целевые продукты: macOS Mojave 10.14.6 и macOS High Sierra 10.13.6
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.
CVE-2019-8825: обнаружено с помощью инструмента GWP-ASan в браузере Google Chrome
Запись добавлена 11 февраля 2020 г.
CUPS
Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6
Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может вызвать утечку конфиденциальных данных пользователя.
Описание. Проблема проверки ввода устранена путем улучшения проверки ввода.
CVE-2019-8736: Pawel Gocyla из ING Tech Poland (ingtechpoland.com)
CUPS
Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6
Воздействие. Обработка вредоносной строки может приводить к повреждению динамической памяти.
Описание. Проблема с использованием памяти устранена путем улучшения обработки обращений к памяти.
CVE-2019-8767: Stephen Zeisberg
CUPS
Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6
Воздействие. Злоумышленник с преимущественным положением в сети может вызвать отказ в обслуживании.
Описание. Проблема отказа в обслуживании устранена путем улучшения проверки.
CVE-2019-8737: Pawel Gocyla из ING Tech Poland (ingtechpoland.com)
File Quarantine
Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6
Воздействие. Вредоносное приложение может повышать уровень привилегий.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2019-8509: пользователь CodeColorist из Ant-Financial Light-Year Labs
File System Events
Целевые продукты: macOS High Sierra 10.13.6 и macOS Catalina 10.15
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2019-8798: специалисты ABC Research s.r.o., сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative
Foundation
Целевые продукты: macOS Mojave 10.14.6 и macOS High Sierra 10.13.6
Воздействие. Злоумышленник может удаленно вызвать неожиданное завершение работы приложения или выполнение произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2019-8746: пользователь natashenka и Samuel Groß из подразделения Google Project Zero
Запись добавлена 11 февраля 2020 г.
Graphics
Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6
Воздействие. Обработка вредоносного шейдера может приводить к неожиданному завершению работы приложения или произвольному выполнению кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения проверки ввода.
CVE-2018-12152: Piotr Bania из Cisco Talos
CVE-2018-12153: Piotr Bania из Cisco Talos
CVE-2018-12154: Piotr Bania из Cisco Talos
Graphics Driver
Целевые продукты: macOS Catalina 10.15
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2019-8784: Vasiliy Vasilyev и Ilya Finogeev из компании Webinar, LLC
Intel Graphics Driver
Целевые продукты: macOS Catalina 10.15
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2019-8807: Yu Wang из Didi Research America
IOGraphics
Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6
Воздействие. Локальный пользователь может вызывать неожиданное завершение работы системы или считывать память ядра.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2019-8759: пользователь another из группы Nirvan в Qihoo 360
iTunes
Целевые продукты: macOS Catalina 10.15
Воздействие. При запуске программы установки iTunes в ненадежном каталоге возможно выполнение произвольного кода.
Описание. При установке iTunes возникала проблема с загрузкой динамических библиотек. Проблема устранена за счет улучшения поиска путей.
CVE-2019-8801: Hou JingYi (@hjy79425575) из отдела CERT в Qihoo 360
Kernel
Целевые продукты: macOS Mojave 10.14.6 и macOS High Sierra 10.13.6
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.
CVE-2019-8709: пользователь derrek (@derrekr6)
Запись добавлена 11 февраля 2020 г.
Kernel
Целевые продукты: macOS Catalina 10.15
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с проверкой устранена путем улучшения очистки ввода.
CVE-2019-8794: пользователь 08Tc3wBB, сотрудничающий с компанией SSD Secure Disclosure
Kernel
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2019-8717: Jann Horn из подразделения Google Project Zero
CVE-2019-8786: Wen Xu, практикант из Технологического института Джорджии (Georgia Tech), принимающий участие в исследовании Microsoft Offensive Security Research
Запись обновлена 18 ноября 2019 г. и 11 февраля 2020 г.
Kernel
Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6
Воздействие. Вредоносное приложение может выявлять схему распределения памяти в ядре.
Описание. При обработке пакетов IPv6 возникала проблема повреждения памяти. Проблема устранена путем улучшенного управления памятью.
CVE-2019-8744: Zhuo Liang из группы Vulcan в Qihoo 360
Kernel
Целевые продукты: macOS Catalina 10.15
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Уязвимость, связанная с повреждением памяти, устранена путем улучшения блокировки.
CVE-2019-8829: Jann Horn из подразделения Google Project Zero
Запись добавлена 6 ноября 2019 г.
libxml2
Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6
Воздействие. Обнаружен ряд проблем в библиотеке libxml2.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения проверки ввода.
CVE-2019-8749: обнаружено с помощью инструмента OSS-Fuzz
CVE-2019-8756: обнаружено с помощью инструмента OSS-Fuzz
libxslt
Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6
Воздействие. Обнаружен ряд проблем в библиотеке libxslt.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения проверки ввода.
CVE-2019-8750: обнаружено с помощью инструмента OSS-Fuzz
manpages
Целевые продукты: macOS High Sierra 10.13.6 и macOS Catalina 10.15
Воздействие. Вредоносное приложение может повышать уровень привилегий до корневого пользователя.
Описание. Проблема с проверкой устранена путем улучшения логики.
CVE-2019-8802: Csaba Fitzl (@theevilbit)
PDFKit
Целевые продукты: macOS Mojave 10.14.6 и macOS High Sierra 10.13.6
Воздействие. Злоумышленник может получить доступ к содержимому зашифрованных PDF-файлов.
Описание. При обработке ссылок в зашифрованных PDF-файлах возникала проблема. Проблема устранена путем добавления запроса на подтверждение.
CVE-2019-8772: Jens Müller, Vladislav Mladenov, Christian Mainka и Jörg Schwenk из Рурского университета в Бохуме, Fabian Ising и Sebastian Schinzel из Мюнстерского университета прикладных наук
Запись добавлена 11 февраля 2020 г.
PluginKit
Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6
Воздействие. Локальный пользователь может проверять существование произвольных файлов.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2019-8708: анонимный исследователь
PluginKit
Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2019-8715: анонимный исследователь
Screen Sharing Server
Целевые продукты: macOS Catalina 10.15
Воздействие. У пользователя, предоставляющего общий доступ к своему экрану, может возникнуть проблема с прекращением общего доступа.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2019-8858: Saul van der Bijl из Saul’s Place Counseling B.V.
Запись добавлена 18 декабря 2019 г.
System Extensions
Целевые продукты: macOS Catalina 10.15
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. При подтверждении прав возникала проблема проверки. Проблема устранена посредством улучшенной проверки процесса подтверждения прав.
CVE-2019-8805: Scott Knight (@sdotknight) из VMware Carbon Black TAU
UIFoundation
Целевые продукты: macOS Catalina 10.15
Воздействие. Вредоносный HTML-документ может отображать фреймы с конфиденциальной информацией пользователя.
Описание. Возникала проблема с перекрестными источниками, связанными с элементами iFrame. Проблема устранена путем улучшения отслеживания источников безопасности.
CVE-2019-8754: Renee Trisberg из SpectX
Запись добавлена 24 февраля 2020 г.
UIFoundation
Целевые продукты: macOS Mojave 10.14.6 и macOS High Sierra 10.13.6
Воздействие. Обработка вредоносного текстового файла может приводить к выполнению произвольного кода.
Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.
CVE-2019-8745: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 11 февраля 2020 г.
UIFoundation
Целевые продукты: macOS Mojave 10.14.6 и macOS High Sierra 10.13.6
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2019-8831: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 11 февраля 2020 г.
UIFoundation
Целевые продукты: macOS Mojave 10.14.6 и macOS High Sierra 10.13.6
Воздействие. Анализ вредоносного текстового файла может приводить к раскрытию информации пользователя.
Описание. Проблема устранена путем улучшения проверок.
CVE-2019-8761: Renee Trisberg из SpectX
Запись обновлена 10 августа 2020 г. и 21 июля 2021 г.
Wi-Fi
Целевые продукты: macOS Catalina 10.15
Воздействие. Злоумышленник в зоне действия Wi-Fi может просматривать небольшой объем сетевого трафика.
Описание. При обработке переходов между состояниями возникала логическая ошибка. Проблема устранена путем улучшенного управления состояниями.
CVE-2019-15126: Milos Cermak из компании ESET
Запись добавлена 11 февраля 2020 г.
Дополнительные благодарности
CFNetwork
Благодарим за помощь Lily Chen из Google.
Find My
Благодарим за помощь Amr Elseehy.
Запись добавлена 28 июля 2020 г.
Kernel
Благодарим за помощь Brandon Azad и Jann Horn из подразделения Google Project Zero, а также Daniel Roethlisberger из Swisscom CSIRT.
Запись обновлена 6 ноября 2019 г.
libresolv
Благодарим за помощь пользователя enh из Google.
Local Authentication
Благодарим за помощь Ryan Lopopolo.
Запись добавлена 11 февраля 2020 г.
mDNSResponder
Благодарим за помощь Gregor Lang из e.solutions GmbH.
Запись добавлена 11 февраля 2020 г.
Postfix
Благодарим за помощь Chris Barker из Puppet.
Python
Выражаем благодарность за помощь анонимному исследователю.
VPN
Благодарим за помощь Royce Gawron из Second Son Consulting, Inc.