Obsah zabezpečenia v systéme macOS Catalina 10.15.4, aktualizácii zabezpečenia 2020-002 Mojave a aktualizácii zabezpečenia 2020-002 High Sierra
V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Catalina 10.15.4, aktualizácii zabezpečenia 2020-002 Mojave a aktualizácii zabezpečenia 2020-002 High Sierra.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Catalina 10.15.4, aktualizácia zabezpečenia 2020-002 Mojave, aktualizácia zabezpečenia 2020-002 High Sierra
Účty
Dostupné pre: macOS Catalina 10.15.3
Dosah: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2020-9772: Allison Husain z UC Berkeley
Podpora pre Apple HSSPI
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-3903: Proteas z tímu Nirvan Team spoločnosti Qihoo 360
AppleGraphicsControl
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením správy stavu.
CVE-2020-3904: Proteas z tímu Nirvan Team spoločnosti Qihoo 360
AppleMobileFileIntegrity
Dostupné pre: macOS Catalina 10.15.3
Dosah: Aplikácia môže byť schopná použiť ľubovoľné oprávnenia
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-3883: Linus Henze (pinauten.de)
Bluetooth
Dostupné pre: macOS Catalina 10.15.3
Dosah: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať prenosy cez Bluetooth
Popis: Vyskytol sa problém pri používaní PRNG s nízkou entropiou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2020-6616: Jörn Tillmanns (@matedealer) a Jiska Classen (@naehrdine) z tímu Secure Mobile Networking Lab
Bluetooth
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2020-9853: Yu Wang zo spoločnosti Didi Research America
Bluetooth
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-3907: Yu Wang zo spoločnosti Didi Research America
CVE-2020-3908: Yu Wang zo spoločnosti Didi Research America
CVE-2020-3912: Yu Wang zo spoločnosti Didi Research America
CVE-2020-9779: Yu Wang zo spoločnosti Didi Research America
Bluetooth
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-3892: Yu Wang zo spoločnosti Didi Research America
CVE-2020-3893: Yu Wang zo spoločnosti Didi Research America
CVE-2020-3905: Yu Wang zo spoločnosti Didi Research America
Bluetooth
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2019-8853: Jianjun Dai z tímu Alpha Lab spoločnosti Qihoo 360
História hovorov
Dostupné pre: macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k histórii hovorov používateľa
Popis: Tento problém bol vyriešený novými oprávneniami.
CVE-2020-9776: Benjamin Randazzo (@____benjamin)
CoreBluetooth
Dostupné pre: macOS Catalina 10.15.3
Dosah: Vzdialený útočník môže byť schopný spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9828: Jianjun Dai z tímu Alpha Lab spoločnosti Qihoo 360
CoreFoundation
Dostupné pre: macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s povoleniami. Tento problém bol vyriešený vylepšením overovania povolení.
CVE-2020-3913: Timo Christ zo spoločnosti Avira Operations GmbH & Co. KG
CoreText
Dostupné pre: macOS Catalina 10.15.3
Dosah: Spracovanie textovej správy so škodlivým kódom môže viesť k odmietnutiu služby aplikácie
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2020-9829: Aaron Perris (@aaronp613), anonymný výskumník, anonymný výskumník, Carlos S Tech, Sam Menzies z tímu Sam’s Lounge, Sufiyan Gouri z Lovely Professional University v Indii, Suleman Hasan Rathor z tímu Arabic-Classroom.com
CUPS
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2020-3898: Stephan Zeisberg (github.com/stze) zo spoločnosti Security Research Labs (srlabs.de)
FaceTime
Dostupné pre: macOS Catalina 10.15.3
Dosah: Lokálny používateľ môže byť schopný zobraziť si citlivé používateľské informácie
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-3881: Yuval Ron, Amichai Shulman a Eli Biham z univerzity Technion – Izraelský technologický inštitút
Grafický ovládač Intel
Dostupné pre: macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2020-3886: Proteas
Grafický ovládač Intel
Dostupné pre: macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná odhaliť vyhradenú pamäť
Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-14615: Wenjian HE z Hongkonskej vedecko-technologickej univerzity, Wei Zhang z Hongkonskej vedecko-technologickej univerzity, Sharad Sinha z Indického technologického inštitútu v Goa a Sanjeev Das zo Severokarolínskej univerzity
IOHIDFamily
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-3919: Alex Plaskett zo spoločnosti F-Secure Consulting
IOThunderboltFamily
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2020-3851: Xiaolong Bai a Min (Spark) Zheng zo spoločnosti Alibaba Inc. a Luyi Xing z Bloomingtonskej univerzity v Indiane
iTunes
Dostupné pre: macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2020-3896: Christoph Falta
Jadro
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Dosah: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-3914: pattern-f (@pattern_F_) zo spoločnosti WaCai
Jadro
Dostupné pre: macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením správy stavu.
CVE-2020-9785: Proteas z tímu Nirvan Team spoločnosti Qihoo 360
libxml2
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Dosah: Viacero problémov v knižnici libxml2
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-3909: LGTM.com
CVE-2020-3911: Nájdené programom OSS-Fuzz
libxml2
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Dosah: Viacero problémov v knižnici libxml2
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.
CVE-2020-3910: LGTM.com
Dostupné pre: macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dosah: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného JavaScript kódu
Popis: Dochádzalo k problému súvisiacemu s vložením kódu, ktorý bol vyriešený vylepšením overovania.
CVE-2020-3884: Apple
Tlač
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2020-3915: Anonymný výskumník v spolupráci s tímom iDefense Labs (https://vcp.idefense.com/), HyungSeok Han (DaramG) @Theori v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Safari
Dostupné pre: macOS Catalina 10.15.3
Dosah: Vo funkcii Čas pred obrazovkou sa môže neočakávane uložiť aktivita používateľa v režime anonymného prezerania
Popis: Dochádzalo k problému so spracovaním tabov zobrazujúcich video funkcie Obraz v obraze. Tento problém bol vyriešený vylepšením spracovania stavu.
CVE-2020-9775: Andrian (@retroplasma), Marat Turaev, Marek Wawro (futurefinance.com) a Sambor Wawro zo školy STO64 v Krakove v Poľsku
Izolovaný priestor
Dostupné pre: macOS Catalina 10.15.3
Dosah: Používateľ môže získať prístup do chránených častí súborového systému
Popis: Tento problém bol vyriešený novými oprávneniami.
CVE-2020-9771: Csaba Fitzl (@theevilbit) zo spoločnosti Offensive Security
Izolovaný priestor
Dostupné pre: macOS Catalina 10.15.3
Dosah: Lokálny používateľ môže byť schopný zobraziť si citlivé používateľské informácie
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení izolovaného priestoru.
CVE-2020-3918: anonymný výskumník, Augusto Alvarez zo spoločnosti Outcourse Limited
sudo
Dostupné pre: macOS Catalina 10.15.3
Dosah: Útočník môže byť schopný spúšťať príkazy ako neexistujúci používateľ
Popis: Tento problém bol vyriešený aktualizovaním programu sudo na verziu 1.8.31.
CVE-2019-19232
sysdiagnose
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Aplikácia môže byť schopná spustiť nástroj sysdiagnose
Popis: Tento problém bol vyriešený vylepšením kontrol
CVE-2020-9786: Dayton Pidhirney (@_watbulb) zo spoločnosti Seekintoo (@seekintoo)
TCC
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná obísť vynútenie podpísania kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2020-3906: Patrick Wardle zo spoločnosti Jamf
Time Machine
Dostupné pre: macOS Catalina 10.15.3
Dosah: Lokálny používateľ môže byť schopný čítať ľubovoľné súbory
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-3889: Lasse Trolle Borup zo spoločnosti Danish Cyber Defence
Vim
Dostupné pre: macOS Catalina 10.15.3
Dosah: Viacero problémov týkajúcich sa softvéru Vim
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 8.1.1850.
CVE-2020-9769: Steve Hahn zo spoločnosti LinkedIn
WebKit
Dostupné pre: macOS Catalina 10.15.3
Dosah: Niektoré webové stránky sa nemuseli zobrazovať v predvoľbách prehliadača Safari
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2020-9787: Ryan Pickren (ryanpickren.com)
WebKit
Dostupné pre: macOS Catalina 10.15.3
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)
Ďalšie poďakovanie
CoreText
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Zvuk FireWire
Poďakovanie za pomoc si zaslúžia Xiaolong Bai a Min (Spark) Zheng zo spoločnosti Alibaba Inc. a Luyi Xing z Bloomingtonskej univerzity v Indiane.
FontParser
Poďakovanie za pomoc si zaslúži Matthew Denton z tímu Google Chrome.
Inštalátor
Poďakovanie za pomoc si zaslúžia Pris Sears z polytechnickej univerzity Virginia Tech, Tom Lynch z inštitútu Creative Computing Institute na univerzite UAL a dvaja anonymní výskumníci.
Inštalácia staršej zostavy
Poďakovanie za pomoc si zaslúžia Pris Sears z polytechnickej univerzity Virginia Tech, Tom Lynch z inštitútu Creative Computing Institute na univerzite UAL a anonymný výskumník.
LinkPresentation
Poďakovanie za pomoc si zaslúži Travis.
OpenSSH
Poďakovanie za pomoc si zaslúži anonymný výskumník.
rapportd
Poďakovanie za pomoc si zaslúži Alexander Heinrich (@Sn0wfreeze) z Technickej univerzity v Darmstadte.
Sidecar
Poďakovanie za pomoc si zaslúži Rick Backley (@rback_sec).
sudo
Poďakovanie za pomoc si zaslúži Giorgio Oppo (linkedin.com/in/giorgio-oppo/).
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.