Obsah zabezpečenia v systéme macOS Catalina 10.15.1, aktualizácii zabezpečenia 2019-001 a aktualizácii zabezpečenia 2019-006

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Catalina 10.15.1, aktualizácii zabezpečenia 2019-001 a aktualizácii zabezpečenia 2019-006.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Catalina 10.15.1, aktualizácia zabezpečenia 2019-001, aktualizácia zabezpečenia 2019-006

Accounts

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Vzdialený útočník môže byť schopný spôsobiť únik pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8787: Steffen Klee z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte

Accounts

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dopad: V režime Všetci môže dôjsť k neočakávanému prijatiu prenosov prostredníctvom technológie AirDrop

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8796: Allison Husain z UC Berkeley

AirDrop

Dostupné pre: macOS Catalina 10.15

Dopad: V režime Všetci môže dôjsť k neočakávanému prijatiu prenosov prostredníctvom technológie AirDrop

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8796: Allison Husain z UC Berkeley

AMD

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8748: Lilang Wu a Moony Li z tímu Mobile Security Research Team spoločnosti Trend Micro

apache_mod_php

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dosah: Viacero problémov týkajúcich sa PHP

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním PHP na verziu 7.3.8.

CVE-2019-11041

CVE-2019-11042

APFS

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8824: Mac v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

App Store

Dostupné pre: macOS Catalina 10.15

Dopad: Lokálny útočník sa môže prihlásiť do účtu predtým prihláseného používateľa bez použitia platných prihlasovacích údajov.

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Dostupné pre: macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8716: Zhiyi Zhang z tímu Codesafe Team of Legendsec spoločnosti Qi'anxin Group, Zhuo Liang z tímu Qihoo 360 Vulcan Team

Associated Domains

Dostupné pre: macOS Catalina 10.15

Dopad: Nesprávne spracovanie adries URL môže viesť k exfiltrácii údajov

Popis: Pri analyzovaní URL adries dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2019-8788: Juha Lindstedt z tímu Pakastin, Mirko Tanania a Rauli Rikama z tímu Zero Keyboard Ltd

Audio

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8706: Yu Zhou zo spoločnosti Ant-Financial Light-Year Security Lab

Audio

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8785: Ian Beer z tímu Google Project Zero

CVE-2019-8797: 08Tc3wBB v spolupráci so spoločnosťou SSD Secure Disclosure

Audio

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k odhaleniu vyhradenej pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8850: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Books

Dostupné pre: macOS Catalina 10.15

Dopad: Analýza súboru apky iBooks so škodlivým kódom môže viesť k sprístupneniu informácií používateľa

Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2019-8789: Gertjan Franken z tímu imec-DistriNet, KU Leuven

Contacts

Dostupné pre: macOS Catalina 10.15

Dopad: Spracovanie kontaktu so škodlivým kódom môže viesť k sfalšovaniu používateľského rozhrania

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2017-7152: Oliver Paukstadt zo spoločnosti Thinking Objects GmbH (to.com)

CoreAudio

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dosah: Prehratie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8592: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreAudio

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dosah: Spracovanie súboru filmu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8705: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8825: Nájdené programom GWP-ASan v prehliadači Google Chrome

CUPS

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých používateľských informácií

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8736: Pawel Gocyla zo spoločnosti ING Tech Poland (ingtechpoland.com)

CUPS

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dopad: Spracovanie reťazca so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8767: Stephen Zeisberg

CUPS

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby

Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8737: Pawel Gocyla zo spoločnosti ING Tech Poland (ingtechpoland.com)

File Quarantine

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2019-8509: CodeColorist z tímu Ant-Financial Light-Year Labs

File System Events

K dispozícii pre: macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8798: ABC Research s. r. o. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Foundation

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8746: natashenka a Samuel Groß z tímu Google Project Zero

Graphics

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Spracovanie tieňovača so škodlivým kódom môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2018-12152: Piotr Bania zo spoločnosti Cisco Talos

CVE-2018-12153: Piotr Bania zo spoločnosti Cisco Talos

CVE-2018-12154: Piotr Bania zo spoločnosti Cisco Talos

Graphics Driver

Dostupné pre: macOS Catalina 10.15

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8784: Vasiliy Vasilyev a Ilya Finogeev zo spoločnosti Webinar, LLC

Intel Graphics Driver

Dostupné pre: macOS Catalina 10.15

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8807: Yu Wang z tímu Didi Research America

IOGraphics

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8759: another z tímu 360 Nirvan Team

iTunes

Dostupné pre: macOS Catalina 10.15

Dopad: Spustenie inštalátora iTunes v nedôveryhodnom adresári môže viesť k spusteniu ľubovoľného kódu

Popis: Pri nastavovaní iTunes dochádzalo k problému s načítavaním dynamickej knižnice. Tento problém bol vyriešený vylepšením vyhľadávania cesty.

CVE-2019-8801: Hou JingYi (@hjy79425575) z tímu CERT spoločnosti Qihoo 360

Kernel

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Kernel

Dostupné pre: macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2019-8794: 08Tc3wBB v spolupráci so spoločnosťou SSD Secure Disclosure

Kernel

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8717: Jann Horn z tímu Google Project Zero

CVE-2019-8786: Wen Xu z Technickej univerzity v Georgii, člen tímu Offensive Security Research spoločnosti Microsoft

Kernel

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

Popis: Pri spracovávaní IPv6 paketov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením správy pamäte.

CVE-2019-8744: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360

Kernel

Dostupné pre: macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.

CVE-2019-8829: Jann Horn z tímu Google Project Zero

libxml2

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Viacero problémov v knižnici libxml2

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2019-8749: Nájdené programom OSS-Fuzz

CVE-2019-8756: Nájdené programom OSS-Fuzz

libxslt

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Viacero problémov v knižnici libxslt

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2019-8750: Nájdené programom OSS-Fuzz

manpages

K dispozícii pre: macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: Škodlivá aplikácia môže byť schopná získať prístup k oprávneniam správcu

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PDFKit

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dosah: Útočník môže byť schopný neoprávnene získať prístup k obsahu zo šifrovaného PDF súboru

Popis: Pri spracúvaní odkazov zo šifrovaných PDF súborov dochádzalo k problému. Tento problém bol vyriešený pridaním výzvy na potvrdenie.

CVE-2019-8772: Jens Müller z Porúrskej univerzity v Bochume, Fabian Ising z Münsterskej univerzity aplikovaných vied, Vladislav Mladenov z Porúrskej univerzity v Bochume, Christian Mainka z Porúrskej univerzity v Bochume, Sebastian Schinzel z Münsterskej univerzity aplikovaných vied a Jörg Schwenk z Porúrskej univerzity v Bochume

PluginKit

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Miestny používateľ môže kontrolovať existenciu ľubovoľných súborov

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2019-8708: Anonymný výskumník

PluginKit

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8715: Anonymný výskumník

Screen Sharing Server

Dostupné pre: macOS Catalina 10.15

Dopad: Používateľ, ktorý zdieľa svoju obrazovku, nemusí byť schopný zdieľanie obrazovky ukončiť

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8858: Saul van der Bijl z tímu Saul’s Place Counseling B.V.

System Extensions

Dostupné pre: macOS Catalina 10.15

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Pri overovaní oprávnení dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania oprávnení procesov.

CVE-2019-8805: Scott Knight (@sdotknight) zo spoločnosti VMware Carbon Black TAU

UIFoundation

Dostupné pre: macOS Catalina 10.15

Dopad: Dokument HTML so škodlivým kódom môže byť schopný vykresľovať rámce iframe s citlivými používateľskými informáciami

Popis: V rámcoch iframe dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením sledovania pôvodov zabezpečenia.

CVE-2019-8754: Renee Trisberg zo spoločnosti SpectX

UIFoundation

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dosah: Spracovanie textového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8745: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

UIFoundation

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8831: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

UIFoundation

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dosah: Analýza textového súboru so škodlivým kódom môže viesť k sprístupneniu informácií používateľa

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2019-8761: Renee Trisberg zo spoločnosti SpectX

Wi-Fi

Dostupné pre: macOS Catalina 10.15

Dopad: Útočník v dosahu Wi-Fi siete môže byť schopný pozrieť si malú časť sieťových prenosov

Popis: Pri spracovávaní prechodov stavu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2019-15126: Milos Cermak zo spoločnosti ESET

Ďalšie poďakovanie

CFNetwork

Poďakovanie za pomoc si zaslúži Lily Chen zo spoločnosti Google.

Find My

Poďakovanie za pomoc si zaslúži Amr Elseehy.

Kernel

Poďakovanie za pomoc si zaslúžia Brandon Azad z projektu Google Project Zero, Daniel Roethlisberger z tímu Swisscom CSIRT a Jann Horn z projektu Google Project Zero.

libresolv

Poďakovanie za pomoc si zaslúži enh zo spoločnosti Google.

Local Authentication

Poďakovanie za pomoc si zaslúži Ryan Lopopolo.

mDNSResponder

Poďakovanie za pomoc si zaslúži Gregor Lang zo spoločnosti e.solutions GmbH.

Postfix

Poďakovanie za pomoc si zaslúži Chris Barker zo spoločnosti Puppet.

python

Poďakovanie za pomoc si zaslúži anonymný výskumník.

VPN

Poďakovanie za pomoc si zaslúži Royce Gawron zo spoločnosti Second Son Consulting, Inc.