Obsah zabezpečenia v systéme macOS Mojave 10.14.5, aktualizácii zabezpečenia 2019-003 High Sierra a aktualizácii zabezpečenia 2019-003 Sierra

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Mojave 10.14.5, v aktualizácii zabezpečenia 2019-003 High Sierra a aktualizácii zabezpečenia 2019-003 Sierra.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple.

macOS Mojave 10.14.5, aktualizácia zabezpečenia 2019-003 High Sierra a aktualizácia zabezpečenia 2019-003 Sierra

Dátum vydania: 13. mája 2019

Zostava prístupnosti

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.4

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2019-8603: Phoenhex a qwerty (@_niklasb, @qwertyoruiopz, @bkth_) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

AMD

Dostupné pre: macOS Mojave 10.14.4

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8635: Lilang Wu a Moony Li z tímu TrendMicro Mobile Security Research Team v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Aplikačný Firewall

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.4

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2019-8590: Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)

CoreAudio

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania chýb.

CVE-2019-8592: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreAudio

Dostupné pre: macOS Mojave 10.14.4

Dopad: Spracovanie súboru filmu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8585: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreText

Dostupné pre: macOS Mojave 10.14.4

Dopad: Spracovanie webovej stránky so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8582: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 25. júla 2019

DesktopServices

Dostupné pre: macOS Mojave 10.14.4

Dopad: Škodlivá aplikácia môže obísť kontroly modulu Gatekeeper

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2019-8589: Andreas Clementi, Stefan Haselwanter a Peter Stelzhammer zo spoločnosti AV-Comparatives

Obrazy disku

Dostupné pre: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2019-8560: Nikita Pupyshev z Moskovskej štátnej technologickej univerzity N. E. Baumana

Dátum aktualizovania záznamu: 14. mája 2019

EFI

Dostupné pre: macOS Mojave 10.14.4

Dopad: Používateľ sa môže neočakávane prihlásiť do účtu iného používateľa

Popis: Dochádzalo k problému súvisiacemu s overovaním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8634: Jenny Sprenger a Maik Hoepfel

Grafický ovládač Intel

Dostupné pre: macOS Mojave 10.14.4

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8616: Lilang Wu a Moony Li z tímu Trend Micro Mobile Security Research Team v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Grafický ovládač Intel

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8629: Arash Tohidi zo spoločnosti Solita Oy

IOAcceleratorFamily

Dostupné pre: macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4456: Tyler Bohan zo spoločnosti Cisco Talos

IOKit

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Dopad: Lokálny používateľ môže načítať nepodpísané rozšírenia jadra

Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2019-8606: Phoenhex a qwerty (@_niklasb, @qwertyoruiopz, @bkth_) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Jadro

Dostupné pre: macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2019-8633: Zhuo Liang z tímu Qihoo 360 Vulcan Team

Dátum pridania záznamu: 25. júla 2019

Jadro

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8525: Zhuo Liang a shrek_wzw z tímu Qihoo 360 Nirvan Team

Dátum pridania záznamu: 14. mája 2019

Jadro

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Vzdialený útočník môže byť schopný spôsobiť únik pamäte

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2019-8547: derrek (@derrekr6)

Dátum pridania záznamu: 14. mája 2019

Jadro

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.4

Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8605: Ned Williamson v spolupráci s tímom Google Project Zero

Jadro

Dostupné pre: macOS Mojave 10.14.4

Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8576: Brandon Azad z tímu Google Project Zero, Junho Jang a Hanul Choi z tímu LINE Security Team

Dátum aktualizovania záznamu: 30. mája 2019

Jadro

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.4

Dopad: Aplikácia môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8591: Ned Williamson v spolupráci s tímom Google Project Zero

Správy

Dostupné pre: macOS Mojave 10.14.4

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby systémom

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8573: Natalie Silvanovich z tímu Google Project Zero

Dátum pridania záznamu: 3. júla 2019

Mikrokód

Dostupné pre: macOS Mojave 10.14.4

Dopad: Porty načítania, medzipamäte vypĺňania a medzipamäte ukladania v systémoch s mikroprocesormi, ktoré používajú špekulatívne vykonávanie kódu, môžu útočníkovi s prístupom lokálneho používateľa umožňovať potenciálny únik informácií prostredníctvom bočného kanálu

Popis: Viaceré problémy s únikom informácií boli čiastočne vyriešené aktualizáciou mikrokódu a zmenou plánovača OS, vďaka čomu došlo k izolovaniu systému od webového obsahu bežiaceho v prehliadači. Ak chcete problém vyriešiť úplne, k dispozícii sú ďalšie voliteľné opravy, ktoré zakážu hyper threading a predvolene povolia opravy založené na mikrokódoch pre všetky procesy. Podrobnosti o opravách si môžete prečítať tu: https://support.apple.com/sk-sk/HT210107.

CVE-2018-12126: Ke Sun, Henrique Kawakami, Kekai Hu a Rodrigo Branco zo spoločnosti Intel; Lei Shi – Qihoo 360 CERT; Marina Minkin; Daniel Genkin z Michiganskej univerzity a Yuval Yarom z Adelaidskej univerzity

CVE-2018-12127: Brandon Falk z tímu zabezpečenia platformy Microsoft Windows a Ke Sun, Henrique Kawakami, Kekai Hu a Rodrigo Branco zo spoločnosti Intel

CVE-2018-12130: Giorgi Maisuradze z výskumného oddelenia spoločnosti Microsoft; Ke Sun, Henrique Kawakami, Kekai Hu a Rodrigo Branco zo spoločnosti Intel; Moritz Lipp, Michael Schwarz a Daniel Gruss z Technologickej univerzity v Grazi; Stephan van Schaik, Alyssa Milburn, Sebastian Osterlund, Pietro Frigo, Kaveh Razavi, Herbert Bos a Cristiano Giuffrida zo skupiny VUSec univerzity VU v Amsterdame; Volodymyr Pikhur a Dan Horea Lutas zo spoločnosti BitDefender

CVE-2019-11091: Ke Sun, Henrique Kawakami, Kekai Hu a Rodrigo Branco zo spoločnosti Intel a Moritz Lipp, Michael Schwarz a Daniel Gruss z Technologickej univerzity v Grazi

Dátum pridania záznamu: 14. mája 2019

Zabezpečenie

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.4

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8604: Fluoroacetate v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

SQLite

Dostupné pre: macOS Mojave 10.14.4

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8577: Omer Gull zo spoločnosti Checkpoint Research

SQLite

Dostupné pre: macOS Mojave 10.14.4

Dopad: Spracovanie dotazu SQL so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8600: Omer Gull zo spoločnosti Checkpoint Research

SQLite

Dostupné pre: macOS Mojave 10.14.4

Dopad: Škodlivá aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8598: Omer Gull zo spoločnosti Checkpoint Research

SQLite

Dostupné pre: macOS Mojave 10.14.4

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2019-8602: Omer Gull zo spoločnosti Checkpoint Research

StreamingZip

Dostupné pre: macOS Mojave 10.14.4

Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému

Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

sysdiagnose

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.4

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8574: Dayton Pidhirney (@_watbulb) zo spoločnosti Seekintoo (@seekintoo)

Podpora Touch Baru

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8569: Viktor Oreshkin (@stek29)

WebKit

Dostupné pre: macOS Mojave 10.14.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2019-6237: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Liu Long z tímu Qihoo 360 Vulcan Team

CVE-2019-8571: 01 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8583: sakura z tímu Xuanwu Lab spoločnosti Tencent, jessica (@babyjess1ca_) z tímu Keen Lab spoločnosti Tencent a dwfault v spolupráci s tímom ADLab spoločnosti Venustech

CVE-2019-8584: G. Geshev zo spoločnosti MWR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8586: Anonymný výskumník

CVE-2019-8587: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8594: Suyoung Lee a Sooel Son z tímu Web Security & Privacy Lab spoločnosti KAIST a HyungSeok Han a Sang Kil Cha z tímu SoftSec Lab spoločnosti KAIST

CVE-2019-8595: G. Geshev zo spoločnosti MWR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8596: Wen Xu z tímu SSLab na univerzite Georgia Tech

CVE-2019-8597: 01 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8601: Fluoroacetate v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8608: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8609: Wen Xu z tímu SSLab na univerzite Georgia Tech

CVE-2019-8610: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8611: Samuel Groß z tímu Google Project Zero

CVE-2019-8615: G. Geshev zo spoločnosti MWR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8619: Wen Xu z tímu SSLab na univerzite Georgia Tech a Hanqing Zhao z tímu Chaitin Security Research Lab

CVE-2019-8622: Samuel Groß z tímu Google Project Zero

CVE-2019-8623: Samuel Groß z tímu Google Project Zero

CVE-2019-8628: Wen Xu z tímu SSLab na univerzite Georgia Tech a Hanqing Zhao z tímu Chaitin Security Research Lab

WebKit

Dostupné pre: macOS Mojave 10.14.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8607: Junho Jang a Hanul Choi z tímu LINE Security Team

Wi-Fi

Dostupné pre: macOS Mojave 10.14.4

Dopad: Útočník s oprávneniami v sieti môže upraviť stav ovládača

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8612: Milan Stute z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte

Dátum pridania záznamu: 14. mája 2019

Ďalšie poďakovanie

CoreAudio

Poďakovanie za pomoc si zaslúži aj riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro.

Dátum pridania záznamu: 25. júla 2019

CoreFoundation

Poďakovanie za pomoc si zaslúžia Vozzie a Rami, ako aj m4bln, Xiangqian Zhang a Huiming Liu z tímu Xuanwu Lab spoločnosti Tencent.

Dátum aktualizovania záznamu: 14. mája 2019

Jadro

Poďakovanie za pomoc si zaslúži Denis Kopyrin.

Dátum aktualizovania záznamu: 14. mája 2019

PackageKit

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit).

Safari

Poďakovanie za pomoc si zaslúži Michael Ball zo spoločnosti Gradescope, súčasti spoločnosti Turnitin.

Systémové nastavenia

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: