Obsah zabezpečenia v systéme macOS Catalina 10.15.2, aktualizácii zabezpečenia 2019-002 Mojave a aktualizácii zabezpečenia 2019-007 High Sierra

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Catalina 10.15.2, aktualizácii zabezpečenia 2019-002 Mojave a aktualizácii zabezpečenia 2019-007 High Sierra.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Catalina 10.15.2, aktualizácia zabezpečenia 2019-002 Mojave, aktualizácia zabezpečenia 2019-007 High Sierra

ATS

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k súborom s obmedzeným prístupom

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2019-8837: Csaba Fitzl (@theevilbit)

Bluetooth

Dostupné pre: macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2019-8853: Jianjun Dai z tímu Alpha Lab spoločnosti Qihoo 360

CallKit

Dostupné pre: macOS Catalina 10.15

Dopad: V zariadeniach s dvoma aktívnymi programami sa môžu hovory uskutočnené pomocou Siri iniciovať použitím nesprávneho programu

Popis: Pri spracúvaní odchádzajúcich telefonických hovorov iniciovaných prostredníctvom Siri dochádzalo k problému s rozhraním API. Tento problém bol vyriešený vylepšením spracovania stavu.

CVE-2019-8856: Fabrice TERRANCLE zo spoločnosti TERRANCLE SARL

Proxy servery súčasti CFNetwork

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2019-8848: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360

CFNetwork

Dostupné pre: macOS Catalina 10.15

Dopad: Útočník s oprávneniami v sieti môže byť schopný obísť zabezpečenie HSTS v prípade obmedzeného počtu konkrétnych domén najvyššej úrovne, ktoré predtým neboli v zozname predbežného načítavania HSTS

Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2019-8834: Rob Sayre (@sayrer)

CUPS

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: V niektorých konfiguráciách môže byť vzdialený útočník schopný odosielať ľubovoľné tlačové úlohy

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8842: Niky1235 zo spoločnosti China Mobile

CUPS

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8839: Stephan Zeisberg zo spoločnosti Security Research Labs

FaceTime

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: Spracovanie videa so škodlivým kódom cez FaceTime môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8830: natashenka z tímu Google Project Zero

IOGraphics

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: Mac sa pri zobudení nemusí hneď uzamknúť

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8851: Vladik Khononov zo spoločnosti DoiT International

Jadro

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2019-8833: Ian Beer z tímu Google Project Zero

Jadro

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8828: Cim Stordal zo spoločnosti Cognite

CVE-2019-8838: Dr. Silvio Cesare zo spoločnosti InfoSect

CVE-2019-8847: Apple

CVE-2019-8852: pattern-f (@pattern_F_) zo spoločnosti WaCai

libexpat

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: Analýza súboru XML so škodlivým kódom môže viesť k odkrytiu informácií o používateľoch

Popis: Tento problém bol vyriešený aktualizovaním súčasti expat na verziu 2.2.8.

CVE-2019-15903: Joonun Jang

Poznámky

Dostupné pre: macOS Catalina 10.15

Dosah: Vzdialený útočník môže byť schopný prepísať existujúce súbory

Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.

CVE-2020-9782: Allison Husain z UC Berkeley

OpenLDAP

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: Viacero problémov týkajúcich sa softvéru OpenLDAP

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním softvéru OpenLDAP na verziu 2.4.28.

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

Zabezpečenie

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8832: Insu Yun z tímu SSLab na univerzite Georgia Tech

tcpdump

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: Viacero problémov v súčasti tcpdump

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním súčasti tcpdump na verziu 4.9.3 a súčasti libpcap na verziu 1.9.1.

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15166

CVE-2019-15167

Wi-Fi

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dopad: Útočník v dosahu Wi-Fi siete môže byť schopný pozrieť si malú časť sieťových prenosov

Popis: Pri spracovávaní prechodov stavu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2019-15126: Milos Cermak zo spoločnosti ESET

Ďalšie poďakovanie

Účty

Poďakovanie za pomoc si zaslúžia Allison Husain z UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling z univerzity v Loughborough.

Core Data

Poďakovanie za pomoc si zaslúži natashenka z tímu Google Project Zero.

Finder

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit).

Jadro

Poďakovanie za pomoc si zaslúži Daniel Roethlisberger zo spoločnosti Swisscom CSIRT.