Obsah zabezpečenia v systéme macOS Catalina 10.15.2, aktualizácii zabezpečenia 2019-002 Mojave a aktualizácii zabezpečenia 2019-007 High Sierra
V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Catalina 10.15.2, aktualizácii zabezpečenia 2019-002 Mojave a aktualizácii zabezpečenia 2019-007 High Sierra.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Catalina 10.15.2, aktualizácia zabezpečenia 2019-002 Mojave, aktualizácia zabezpečenia 2019-007 High Sierra
ATS
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k súborom s obmedzeným prístupom
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2019-8837: Csaba Fitzl (@theevilbit)
Bluetooth
Dostupné pre: macOS Catalina 10.15
Dosah: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2019-8853: Jianjun Dai z tímu Alpha Lab spoločnosti Qihoo 360
CallKit
Dostupné pre: macOS Catalina 10.15
Dopad: V zariadeniach s dvoma aktívnymi programami sa môžu hovory uskutočnené pomocou Siri iniciovať použitím nesprávneho programu
Popis: Pri spracúvaní odchádzajúcich telefonických hovorov iniciovaných prostredníctvom Siri dochádzalo k problému s rozhraním API. Tento problém bol vyriešený vylepšením spracovania stavu.
CVE-2019-8856: Fabrice TERRANCLE zo spoločnosti TERRANCLE SARL
Proxy servery súčasti CFNetwork
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2019-8848: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360
CFNetwork
Dostupné pre: macOS Catalina 10.15
Dopad: Útočník s oprávneniami v sieti môže byť schopný obísť zabezpečenie HSTS v prípade obmedzeného počtu konkrétnych domén najvyššej úrovne, ktoré predtým neboli v zozname predbežného načítavania HSTS
Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2019-8834: Rob Sayre (@sayrer)
CUPS
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: V niektorých konfiguráciách môže byť vzdialený útočník schopný odosielať ľubovoľné tlačové úlohy
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8842: Niky1235 zo spoločnosti China Mobile
CUPS
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8839: Stephan Zeisberg zo spoločnosti Security Research Labs
FaceTime
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Spracovanie videa so škodlivým kódom cez FaceTime môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8830: natashenka z tímu Google Project Zero
IOGraphics
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Mac sa pri zobudení nemusí hneď uzamknúť
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8851: Vladik Khononov zo spoločnosti DoiT International
Jadro
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2019-8833: Ian Beer z tímu Google Project Zero
Jadro
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8828: Cim Stordal zo spoločnosti Cognite
CVE-2019-8838: Dr. Silvio Cesare zo spoločnosti InfoSect
CVE-2019-8847: Apple
CVE-2019-8852: pattern-f (@pattern_F_) zo spoločnosti WaCai
libexpat
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Analýza súboru XML so škodlivým kódom môže viesť k odkrytiu informácií o používateľoch
Popis: Tento problém bol vyriešený aktualizovaním súčasti expat na verziu 2.2.8.
CVE-2019-15903: Joonun Jang
Poznámky
Dostupné pre: macOS Catalina 10.15
Dosah: Vzdialený útočník môže byť schopný prepísať existujúce súbory
Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.
CVE-2020-9782: Allison Husain z UC Berkeley
OpenLDAP
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Viacero problémov týkajúcich sa softvéru OpenLDAP
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním softvéru OpenLDAP na verziu 2.4.28.
CVE-2012-1164
CVE-2012-2668
CVE-2013-4449
CVE-2015-1545
CVE-2019-13057
CVE-2019-13565
Zabezpečenie
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8832: Insu Yun z tímu SSLab na univerzite Georgia Tech
tcpdump
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Viacero problémov v súčasti tcpdump
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním súčasti tcpdump na verziu 4.9.3 a súčasti libpcap na verziu 1.9.1.
CVE-2017-16808
CVE-2018-10103
CVE-2018-10105
CVE-2018-14461
CVE-2018-14462
CVE-2018-14463
CVE-2018-14464
CVE-2018-14465
CVE-2018-14466
CVE-2018-14467
CVE-2018-14468
CVE-2018-14469
CVE-2018-14470
CVE-2018-14879
CVE-2018-14880
CVE-2018-14881
CVE-2018-14882
CVE-2018-16227
CVE-2018-16228
CVE-2018-16229
CVE-2018-16230
CVE-2018-16300
CVE-2018-16301
CVE-2018-16451
CVE-2018-16452
CVE-2019-15166
CVE-2019-15167
Wi-Fi
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dopad: Útočník v dosahu Wi-Fi siete môže byť schopný pozrieť si malú časť sieťových prenosov
Popis: Pri spracovávaní prechodov stavu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2019-15126: Milos Cermak zo spoločnosti ESET
Ďalšie poďakovanie
Účty
Poďakovanie za pomoc si zaslúžia Allison Husain z UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling z univerzity v Loughborough.
Core Data
Poďakovanie za pomoc si zaslúži natashenka z tímu Google Project Zero.
Finder
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit).
Jadro
Poďakovanie za pomoc si zaslúži Daniel Roethlisberger zo spoločnosti Swisscom CSIRT.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.