Obsah zabezpečenia v systéme macOS Catalina 10.15.1, aktualizácii zabezpečenia 2019-001 a aktualizácii zabezpečenia 2019-006
V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Catalina 10.15.1, aktualizácii zabezpečenia 2019-001 a aktualizácii zabezpečenia 2019-006.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Catalina 10.15.1, aktualizácia zabezpečenia 2019-001, aktualizácia zabezpečenia 2019-006
Accounts
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dosah: Vzdialený útočník môže byť schopný spôsobiť únik pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8787: Steffen Klee z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte
Accounts
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dopad: V režime Všetci môže dôjsť k neočakávanému prijatiu prenosov prostredníctvom technológie AirDrop
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8796: Allison Husain z UC Berkeley
AirDrop
Dostupné pre: macOS Catalina 10.15
Dopad: V režime Všetci môže dôjsť k neočakávanému prijatiu prenosov prostredníctvom technológie AirDrop
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8796: Allison Husain z UC Berkeley
AMD
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8748: Lilang Wu a Moony Li z tímu Mobile Security Research Team spoločnosti Trend Micro
apache_mod_php
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Viacero problémov týkajúcich sa PHP
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním PHP na verziu 7.3.8.
CVE-2019-11041
CVE-2019-11042
APFS
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8824: Mac v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
App Store
Dostupné pre: macOS Catalina 10.15
Dopad: Lokálny útočník sa môže prihlásiť do účtu predtým prihláseného používateľa bez použitia platných prihlasovacích údajov.
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleGraphicsControl
Dostupné pre: macOS Catalina 10.15
Dosah: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2019-8817: Arash Tohidi
AppleGraphicsControl
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8716: Zhiyi Zhang z tímu Codesafe Team of Legendsec spoločnosti Qi'anxin Group, Zhuo Liang z tímu Qihoo 360 Vulcan Team
Associated Domains
Dostupné pre: macOS Catalina 10.15
Dopad: Nesprávne spracovanie adries URL môže viesť k exfiltrácii údajov
Popis: Pri analyzovaní URL adries dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2019-8788: Juha Lindstedt z tímu Pakastin, Mirko Tanania a Rauli Rikama z tímu Zero Keyboard Ltd
Audio
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8706: Yu Zhou zo spoločnosti Ant-Financial Light-Year Security Lab
Audio
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8785: Ian Beer z tímu Google Project Zero
CVE-2019-8797: 08Tc3wBB v spolupráci so spoločnosťou SSD Secure Disclosure
Audio
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k odhaleniu vyhradenej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8850: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Books
Dostupné pre: macOS Catalina 10.15
Dopad: Analýza súboru apky iBooks so škodlivým kódom môže viesť k sprístupneniu informácií používateľa
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2019-8789: Gertjan Franken z tímu imec-DistriNet, KU Leuven
Contacts
Dostupné pre: macOS Catalina 10.15
Dopad: Spracovanie kontaktu so škodlivým kódom môže viesť k sfalšovaniu používateľského rozhrania
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2017-7152: Oliver Paukstadt zo spoločnosti Thinking Objects GmbH (to.com)
CoreAudio
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Prehratie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8592: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CoreAudio
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Spracovanie súboru filmu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8705: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CoreMedia
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8825: Nájdené programom GWP-ASan v prehliadači Google Chrome
CUPS
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8736: Pawel Gocyla zo spoločnosti ING Tech Poland (ingtechpoland.com)
CUPS
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Dopad: Spracovanie reťazca so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8767: Stephen Zeisberg
CUPS
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8737: Pawel Gocyla zo spoločnosti ING Tech Poland (ingtechpoland.com)
File Quarantine
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Dosah: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2019-8509: CodeColorist z tímu Ant-Financial Light-Year Labs
File System Events
K dispozícii pre: macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8798: ABC Research s. r. o. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Foundation
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8746: natashenka a Samuel Groß z tímu Google Project Zero
Graphics
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Dosah: Spracovanie tieňovača so škodlivým kódom môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2018-12152: Piotr Bania zo spoločnosti Cisco Talos
CVE-2018-12153: Piotr Bania zo spoločnosti Cisco Talos
CVE-2018-12154: Piotr Bania zo spoločnosti Cisco Talos
Graphics Driver
Dostupné pre: macOS Catalina 10.15
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8784: Vasiliy Vasilyev a Ilya Finogeev zo spoločnosti Webinar, LLC
Intel Graphics Driver
Dostupné pre: macOS Catalina 10.15
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8807: Yu Wang z tímu Didi Research America
IOGraphics
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8759: another z tímu 360 Nirvan Team
iTunes
Dostupné pre: macOS Catalina 10.15
Dopad: Spustenie inštalátora iTunes v nedôveryhodnom adresári môže viesť k spusteniu ľubovoľného kódu
Popis: Pri nastavovaní iTunes dochádzalo k problému s načítavaním dynamickej knižnice. Tento problém bol vyriešený vylepšením vyhľadávania cesty.
CVE-2019-8801: Hou JingYi (@hjy79425575) z tímu CERT spoločnosti Qihoo 360
Kernel
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Kernel
Dostupné pre: macOS Catalina 10.15
Dosah: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2019-8794: 08Tc3wBB v spolupráci so spoločnosťou SSD Secure Disclosure
Kernel
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8717: Jann Horn z tímu Google Project Zero
CVE-2019-8786: Wen Xu z Technickej univerzity v Georgii, člen tímu Offensive Security Research spoločnosti Microsoft
Kernel
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Pri spracovávaní IPv6 paketov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením správy pamäte.
CVE-2019-8744: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360
Kernel
Dostupné pre: macOS Catalina 10.15
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.
CVE-2019-8829: Jann Horn z tímu Google Project Zero
libxml2
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Dosah: Viacero problémov v knižnici libxml2
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2019-8749: Nájdené programom OSS-Fuzz
CVE-2019-8756: Nájdené programom OSS-Fuzz
libxslt
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Dosah: Viacero problémov v knižnici libxslt
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2019-8750: Nájdené programom OSS-Fuzz
manpages
K dispozícii pre: macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Škodlivá aplikácia môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2019-8802: Csaba Fitzl (@theevilbit)
PDFKit
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Útočník môže byť schopný neoprávnene získať prístup k obsahu zo šifrovaného PDF súboru
Popis: Pri spracúvaní odkazov zo šifrovaných PDF súborov dochádzalo k problému. Tento problém bol vyriešený pridaním výzvy na potvrdenie.
CVE-2019-8772: Jens Müller z Porúrskej univerzity v Bochume, Fabian Ising z Münsterskej univerzity aplikovaných vied, Vladislav Mladenov z Porúrskej univerzity v Bochume, Christian Mainka z Porúrskej univerzity v Bochume, Sebastian Schinzel z Münsterskej univerzity aplikovaných vied a Jörg Schwenk z Porúrskej univerzity v Bochume
PluginKit
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Dosah: Miestny používateľ môže kontrolovať existenciu ľubovoľných súborov
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2019-8708: Anonymný výskumník
PluginKit
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8715: Anonymný výskumník
Screen Sharing Server
Dostupné pre: macOS Catalina 10.15
Dopad: Používateľ, ktorý zdieľa svoju obrazovku, nemusí byť schopný zdieľanie obrazovky ukončiť
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8858: Saul van der Bijl z tímu Saul’s Place Counseling B.V.
System Extensions
Dostupné pre: macOS Catalina 10.15
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Pri overovaní oprávnení dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania oprávnení procesov.
CVE-2019-8805: Scott Knight (@sdotknight) zo spoločnosti VMware Carbon Black TAU
UIFoundation
Dostupné pre: macOS Catalina 10.15
Dopad: Dokument HTML so škodlivým kódom môže byť schopný vykresľovať rámce iframe s citlivými používateľskými informáciami
Popis: V rámcoch iframe dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením sledovania pôvodov zabezpečenia.
CVE-2019-8754: Renee Trisberg zo spoločnosti SpectX
UIFoundation
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Spracovanie textového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8745: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
UIFoundation
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8831: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
UIFoundation
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Analýza textového súboru so škodlivým kódom môže viesť k sprístupneniu informácií používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2019-8761: Renee Trisberg zo spoločnosti SpectX
Wi-Fi
Dostupné pre: macOS Catalina 10.15
Dopad: Útočník v dosahu Wi-Fi siete môže byť schopný pozrieť si malú časť sieťových prenosov
Popis: Pri spracovávaní prechodov stavu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2019-15126: Milos Cermak zo spoločnosti ESET
Ďalšie poďakovanie
CFNetwork
Poďakovanie za pomoc si zaslúži Lily Chen zo spoločnosti Google.
Find My
Poďakovanie za pomoc si zaslúži Amr Elseehy.
Kernel
Poďakovanie za pomoc si zaslúžia Brandon Azad z projektu Google Project Zero, Daniel Roethlisberger z tímu Swisscom CSIRT a Jann Horn z projektu Google Project Zero.
libresolv
Poďakovanie za pomoc si zaslúži enh zo spoločnosti Google.
Local Authentication
Poďakovanie za pomoc si zaslúži Ryan Lopopolo.
mDNSResponder
Poďakovanie za pomoc si zaslúži Gregor Lang zo spoločnosti e.solutions GmbH.
Postfix
Poďakovanie za pomoc si zaslúži Chris Barker zo spoločnosti Puppet.
python
Poďakovanie za pomoc si zaslúži anonymný výskumník.
VPN
Poďakovanie za pomoc si zaslúži Royce Gawron zo spoločnosti Second Son Consulting, Inc.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.