Obsah zabezpečenia v systéme macOS Mojave 10.14.4, aktualizácii zabezpečenia 2019-002 High Sierra a aktualizácii zabezpečenia 2019-002 Sierra

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Mojave 10.14.4, aktualizácii zabezpečenia 2019-002 High Sierra a aktualizácii zabezpečenia 2019-002 Sierra.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Mojave 10.14.4, aktualizácia zabezpečenia 2019-002 High Sierra a aktualizácia zabezpečenia 2019-002 Sierra

Vydané 25. marca 2019

802.1X

Dostupné pre: macOS Mojave 10.14.3

Dosah: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať sieťové prenosy

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-6203: Dominic White zo spoločnosti SensePost (@singe)

Dátum pridania záznamu: 15. apríla 2019

802.1X

Dostupné pre: macOS High Sierra 10.13.6

Dosah: Môže sa stať, že systém bude dôverovať nedôveryhodnému certifikátu servera Radius

Popis: V správe entity trust anchor dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.

CVE-2019-8531: Anonymný výskumník, tím QA zo spoločnosti SecureW2

Dátum pridania záznamu: 15. mája 2019

Účty

Dostupné pre: macOS Mojave 10.14.3

Dosah: Spracovanie súboru VCF so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)

Dátum pridania záznamu: 3. apríla 2019

APFS

Dostupné pre: macOS Mojave 10.14.3

Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s logikou, ktorý spôsoboval poškodenie pamäte. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2019-8534: Mac v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 15. apríla 2019

AppleGraphicsControl

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.3

Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.

CVE-2019-8555: Zhiyi Zhang z tímu 360 ESG Codesafe Team, Zhuo Liang a shrek_wzw z tímu Qihoo 360 Nirvan Team

Bom

Dostupné pre: macOS Mojave 10.14.3

Dosah: Škodlivá aplikácia môže obísť kontroly modulu Gatekeeper

Popis: Tento problém bol vyriešený vylepšením spracovania metadát súborov.

CVE-2019-6239: Ian Moorhouse a Michael Trimm

CFString

Dostupné pre: macOS Mojave 10.14.3

Dopad: Spracovanie reťazca so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2019-8516: Tím SWIPS Team zo spoločnosti Frifee Inc.

configd

Dostupné pre: macOS Mojave 10.14.3

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8552: Mohamed Ghannam (@_simo36)

Kontakty

Dostupné pre: macOS Mojave 10.14.3

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8511: Anonymný výskumník

CoreCrypto

Dostupné pre: macOS Mojave 10.14.3

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8542: Anonymný výskumník

DiskArbitration

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.3

Dosah: Šifrovaný disk je možné odpojiť a pripojiť pod iným používateľom bez zobrazenia výzvy na zadanie hesla

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8522: Colin Meginnis (@falc420)

FaceTime

Dostupné pre: macOS Mojave 10.14.3

Dosah: Video používateľa sa počas volania FaceTime nemusí pozastaviť, ak používateľ ukončí aplikáciu FaceTime počas vyzváňania

Popis: Dochádzalo k problému pri pozastavovaní videa v aplikácii FaceTime. Tento problém bol vyriešený vylepšením logiky.

CVE-2019-8550: Lauren Guzniczak z akadémie Keystone Academy

FaceTime

Dostupné pre: macOS Mojave 10.14.3

Dosah: Lokálny útočník môže byť schopný zobraziť si kontakty zo zamknutej plochy

Popis: Problém so zamknutou plochou umožňoval získať prístup ku kontaktom na zamknutom zariadení. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2019-8777: Abdullah H. AlJaber (@aljaber) zo spoločnosti AJ.SA

Dátum pridania záznamu: 8. októbra 2019

Sprievodca názormi

Dostupné pre: macOS Mojave 10.14.3

Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k oprávneniam koreňového používateľa

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2019-8565: CodeColorist z tímu Ant-Financial LightYear Labs

Sprievodca názormi

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.3

Dosah: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2019-8521: CodeColorist z tímu Ant-Financial LightYear Labs

File

Dostupné pre: macOS Mojave 10.14.3

Dosah: Spracovanie súboru so škodlivým kódom môže viesť k odhaleniu používateľských informácií

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8906: Francisco Alonso

Dátum aktualizovania záznamu: 15. apríla 2019

Grafické ovládače

Dostupné pre: macOS Mojave 10.14.3

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII) a Junzhi Lu z výskumného tímu spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Lilang Wu a Moony Li zo spoločnosti Trend Micro

Dátum aktualizácie záznamu: 1. augusta 2019

iAP

Dostupné pre: macOS Mojave 10.14.3

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8542: Anonymný výskumník

IOGraphics

Dostupné pre: macOS Mojave 10.14.3

Dosah: Mac sa po odpojení od externého monitora nemusí zamknúť

Popis: Dochádzalo k problému so spracovaním zámku, ktorý bol vyriešený vylepšením spracovania zámku.

CVE-2019-8533: Anonymný výskumník, James Eagan zo spoločnosti Télécom ParisTech, R. Scott Kemp z MIT a Romke van Dijk z tímu Z-CERT

IOHIDFamily

Dostupné pre: macOS Mojave 10.14.3

Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8545: Adam Donenfeld (@doadam) z tímu Zimperium zLabs Team

IOKit

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Dosah: Lokálny používateľ môže byť schopný čítať pamäť jadra

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8504: Anonymný výskumník

IOKit SCSI

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8529: Juwei Lin (@panicaII) z výskumného tímu spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum aktualizovania záznamu: 15. apríla 2019

Jadro

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dosah: Lokálny používateľ môže byť schopný čítať pamäť jadra

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4448: Brandon Azad

Dátum pridania záznamu: 17. septembra 2019

Jadro

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.3

Dosah: Vzdialený útočník môže byť schopný upraviť údaje o sieťových prenosoch

Popis: Pri spracovávaní IPv6 paketov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením správy pamäte.

CVE-2019-5608: Apple

Dátum pridania záznamu: 6. augusta 2019

Jadro

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.3

Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.

CVE-2019-8527: Ned Williamson zo spoločnosti Google a derrek (@derrekr6)

Jadro

Dostupné pre: macOS Mojave 10.14.3, macOS High Sierra 10.13.6

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) z tímu Qihoo 360 Vulcan Team

Dátum pridania záznamu: 3. apríla 2019, dátum aktualizácie: 1. augusta 2019

Jadro

Dostupné pre: macOS Sierra 10.12.6, macOS Mojave 10.14.3

Dosah: Pripojenie škodlivého sieťového zdieľania NFS môže viesť k spusteniu ľubovoľného kódu so systémovými oprávneniami

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8508: Dr. Silvio Cesare zo spoločnosti InfoSect

Jadro

Dostupné pre: macOS Mojave 10.14.3

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8514: Samuel Groß z tímu Google Project Zero

Jadro

Dostupné pre: macOS Sierra 10.12.6, macOS Mojave 10.14.3

Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8540: Weibo Wang (@ma1fan) z tímu Qihoo 360 Nirvan Team

Jadro

Dostupné pre: macOS Mojave 10.14.3

Dopad: Lokálny používateľ môže byť schopný čítať pamäť jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-7293: Ned Williamson zo spoločnosti Google

Jadro

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.3

Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2019-6207: Weibo Wang z tímu Qihoo 360 Nirvan Team (@ma1fan)

CVE-2019-8510: Stefan Esser z tímu Antid0te UG

Jadro

Dostupné pre: macOS Mojave 10.14.3

Dosah: Vzdialený útočník môže byť schopný spôsobiť únik pamäte

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2019-8547: derrek (@derrekr6)

Dátum pridania záznamu: 1. augusta 2019

Jadro

Dostupné pre: macOS Mojave 10.14.3

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8525: Zhuo Liang a shrek_wzw z tímu Qihoo 360 Nirvan Team

Dátum pridania záznamu: 1. augusta 2019

libmalloc

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dosah: Škodlivá aplikácia môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2018-4433: Vitaly Cheptsov

Dátum pridania záznamu: 1. augusta 2019, dátum aktualizácie: 17. septembra 2019

Mail

Dostupné pre: macOS Mojave 10.14.3

Dosah: Spracovanie e-mailovej správy so škodlivým kódom môže viesť k sfalšovaniu podpisu S/MIME

Popis: Pri spracoúvaní certifikátov S-MIME dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania certifikátov S-MIME.

CVE-2019-8642: Maya Sigal a Volker Roth z univerzity Freie Universität Berlin

Dátum pridania záznamu: 1. augusta 2019

Mail

Dostupné pre: macOS Mojave 10.14.3

Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať obsah e-mailov so šifrovaním S/MIME

Popis: Pri spracúvaní šifrovaných e‑mailov dochádzalo k problému. Tento problém bol vyriešený vylepšením izolovania protokolu MIME v aplikácii Mail.

CVE-2019-8645: Maya Sigal a Volker Roth z univerzity Freie Universität Berlin

Dátum pridania záznamu: 1. augusta 2019

Správy

Dostupné pre: macOS Mojave 10.14.3

Dosah: Lokálny používateľ môže byť schopný zobraziť si citlivé používateľské informácie

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení izolovaného priestoru.

CVE-2019-8546: ChiYuan Chang

Modem CCL

Dostupné pre: macOS Mojave 10.14.3

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8579: Anonymný výskumník

Dátum pridania záznamu: 15. apríla 2019

Poznámky

Dostupné pre: macOS Mojave 10.14.3

Dosah: Lokálny používateľ môže byť schopný zobraziť si uzamknuté poznámky iného používateľa

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2019-8537: Greg Walker (gregwalker.us)

PackageKit

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.3

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8561: Jaron Bradley z tímu Crowdstrike

Perl

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.3

Dosah: Viacero problémov v súčasti Perl

Popis: V tejto aktualizácii bolo vyriešených viacero problémov v súčasti Perl.

CVE-2018-12015: Jakub Wilk

CVE-2018-18311: Jayakrishna Menon

CVE-2018-18313: Eiichi Tsukata

Správa napájania

Dostupné pre: macOS Mojave 10.14.3

Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: V generovanom kóde MIG dochádzalo k viacerým problémom s overovaním vstupu. Tieto problémy boli vyriešené vylepšením overovania.

CVE-2019-8549: Mohamed Ghannam (@_simo36) zo spoločnosti SSD Secure Disclosure (ssd-disclosure.com)

QuartzCore

Dostupné pre: macOS Mojave 10.14.3

Dosah: Spracovanie dát so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2019-8507: Kai Lu z tímu FortiGuard Labs spoločnosti Fortinet

Izolovaný priestor

Dostupné pre: macOS Mojave 10.14.3

Dosah: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2019-8618: Brandon Azad

Dátum pridania záznamu: 1. augusta 2019

Zabezpečenie

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.3

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8526: Linus Henze (pinauten.de)

Zabezpečenie

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.3

Dopad: Škodlivá aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8520: Antonio Groza, Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)

Zabezpečenie

Dostupné pre: macOS Mojave 10.14.3

Dosah: Môže sa stať, že systém bude dôverovať nedôveryhodnému certifikátu servera Radius

Popis: V správe entity trust anchor dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.

CVE-2019-8531: Anonymný výskumník, tím QA zo spoločnosti SecureW2

Zabezpečenie

Dostupné pre: macOS Mojave 10.14.3

Dosah: Môže sa stať, že systém bude dôverovať nedôveryhodnému certifikátu servera Radius

Popis: V správe entity trust anchor dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.

CVE-2019-8531: Anonymný výskumník, tím QA zo spoločnosti SecureW2

Dátum pridania záznamu: 15. mája 2019

Siri

Dostupné pre: macOS Mojave 10.14.3

Dosah: Aplikácia so škodlivým kódom môže byť schopná inicializovať žiadosť diktovania bez autorizácie používateľa

Popis: Pri spracovávaní žiadostí diktovania dochádzalo k problému s rozhraním API. Tento problém bol vyriešený vylepšením overovania.

CVE-2019-8502: Luke Deshotels zo Severokarolínskej štátnej univerzity, Jordan Beichler zo Severokarolínskej štátnej univerzity, William Enck zo Severokarolínskej štátnej univerzity, Costin Carabaș z Polytechnickej univerzity v Bukurešti a Răzvan Deaconescu z Polytechnickej univerzity v Bukurešti

Time Machine

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.3

Dosah: Lokálny používateľ môže byť schopný spúšťať ľubovoľné príkazy shellu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2019-8513: CodeColorist z tímu Ant-Financial LightYear Labs

Podpora Touch Baru

Dostupné pre: macOS Mojave 10.14.3

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8569: Viktor Oreshkin (@stek29)

Dátum pridania záznamu: 1. augusta 2019

TrueTypeScaler

Dostupné pre: macOS Mojave 10.14.3

Dopad: Spracovanie webovej stránky so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8517: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Wi-Fi

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.3

Dopad: Útočník s oprávneniami v sieti môže upraviť stav ovládača

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8564: Hugues Anguelkov počas stáže v spoločnosti Quarkslab

Dátum pridania záznamu: 15. apríla 2019

Wi-Fi

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Útočník s oprávneniami v sieti môže upraviť stav ovládača

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8612: Milan Stute z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte

Dátum pridania záznamu: 1. augusta 2019

Wi-Fi

Dostupné pre: macOS Mojave 10.14.3

Dopad: Zariadenie možno pasívne sledovať podľa jeho MAC adresy vo Wi-Fi sieti

Popis: Dochádzalo k problému s ochranou osobných údajov používateľa, ktorý bol vyriešený odstránením MAC adresy vysielania.

CVE-2019-8567: David Kreitschmann a Milan Stute z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte

Dátum pridania záznamu: 1. augusta 2019

xar

Dostupné pre: macOS Mojave 10.14.3

Dosah: Spracovanie balíka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)

Dátum pridania záznamu: 15. apríla 2019

XPC

Dostupné pre: macOS Sierra 10.12.6, macOS Mojave 10.14.3

Dosah: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2019-8530: CodeColorist z tímu Ant-Financial LightYear Labs

Ďalšie poďakovanie

Účty

Poďakovanie za pomoc si zaslúži Milan Stute z laboratória zabezpečených mobilných sietí na Technickej univerzite v Darmstadte.

Knihy

Poďakovanie sa pomoc si zaslúži Yiğit Can YILMAZ (@yilmazcanyigit).

Jadro

Poďakovanie za pomoc si zaslúžia Brandon Azad, Brandon Azad z tímu Google Project Zero, Daniel Roethlisberger z tímu Swisscom CSIRT a Raz Mashat (@RazMashat) zo Strednej školy Ilana Ramona.

Dátum aktualizovania záznamu: 17. septembra 2019

Mail

Poďakovanie za pomoc si zaslúžia Craig Young z tímu Tripwire VERT a Hanno Böck.

Time Machine

Poďakovanie za pomoc si zaslúži CodeColorist z tímu Ant-Financial LightYear Labs.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: