Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Mojave 10.14.6, aktualizácia zabezpečenia 2019-004 High Sierra a aktualizácia zabezpečenia 2019-004 Sierra
Dátum vydania: 22. júla 2019
AppleGraphicsControl
Dostupné pre: macOS Mojave 10.14.5
Dopad: Apka môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2019-8693: Arash Tohidi zo spoločnosti Solita
autofs
Dostupné pre: macOS Sierra 10.12.6, macOS Mojave 10.14.5, macOS High Sierra 10.13.6
Dopad: Extrahovanie súboru .zip, ktorý obsahuje symbolický odkaz na koncový bod v pripojení NFS spravovaný útočníkom, môže obísť kontroly modulu Gatekeeper.
Popis: Tento problém bol vyriešený pridaním ďalších kontrol modulom Gatekeeper pri súboroch, ktoré sú pripájané sieťovým zdieľaním.
CVE-2019-8656: Filippo Cavallarin
Bluetooth
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.5
Dopad: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-19860
Bluetooth
Dostupné pre: macOS Sierra 10.12.6, macOS Mojave 10.14.5, macOS High Sierra 10.13.6
Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať prenosy cez Bluetooth (útok Key Negotiation of Bluetooth – KNOB).
Popis: V rozhraní Bluetooth dochádzalo k problému súvisiacemu s overovaním vstupu. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2019-9506: Daniele Antonioli z univerzity SUTD v Singapure, Dr. Nils Ole Tippenhauer z centra CISPA v Nemecku a prof. Kasper Rasmussen z Oxfordskej univerzity v Anglicku
Zmeny v tomto čísle zmierňujú dopad CVE-2020-10135.
Položka bola pridaná 13. augusta 2019 a aktualizovaná 25. júna 2020.
Carbon Core
Dostupné pre: macOS Mojave 10.14.5
Dopad: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2019-8661: natashenka z tímu Google Project Zero
Core Data
Dostupné pre: macOS Mojave 10.14.5
Dopad: Vzdialený útočník môže byť schopný spôsobiť únik pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8646: natashenka z tímu Google Project Zero
Core Data
Dostupné pre: macOS Mojave 10.14.5
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8660: Samuel Groß a natashenka z tímu Google Project Zero
CUPS
Dostupné pre: macOS Sierra 10.12.6, macOS Mojave 10.14.5, macOS High Sierra 10.13.6
Dopad: Útočník s oprávneniami v sieti môže byť schopný spustiť ľubovoľný kód
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8675: Stephan Zeisberg (github.com/stze) zo spoločnosti Security Research Labs (srlabs.de)
CVE-2019-8696: Stephan Zeisberg (github.com/stze) zo spoločnosti Security Research Labs (srlabs.de)
Dátum pridania záznamu: 14. augusta 2019, dátum aktualizácie: 17. septembra 2019
Správa diskov
Dostupné pre: macOS Mojave 10.14.5
Dopad: Apka so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8539: ccpwd v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 17. septembra 2019
Správa diskov
Dostupné pre: macOS Mojave 10.14.5
Dopad: Apka môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8697: ccpwd v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
FaceTime
Dostupné pre: macOS Mojave 10.14.5
Dopad: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8648: Tao Huang a Tielei Wang z tímu Team Pangu
Nájdené v apkách
Dostupné pre: macOS Mojave 10.14.5
Dopad: Vzdialený útočník môže byť schopný spôsobiť únik pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2019-8663: natashenka z tímu Google Project Zero
Game Center
Dostupné pre: macOS Mojave 10.14.5
Dopad: Lokálny používateľ môže byť schopný čítať perzistentný identifikátor účtu.
Popis: Tento problém bol vyriešený novými oprávneniami.
CVE-2019-8702: Min (Spark) Zheng a Xiaolong Bai zo spoločnosti Alibaba Inc.
Dátum pridania záznamu: pondelok 24. februára 2020
Grapher
Dostupné pre: macOS Mojave 10.14.5
Dopad: Apka môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8695: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Grafické ovládače
Dostupné pre: macOS Mojave 10.14.5, macOS High Sierra 10.13.6
Dopad: Apka môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2019-8691: Aleksandr Tarasikov (@astarasikov), Arash Tohidi zo spoločnosti Solita, Lilang Wu a Moony Li z tímu Mobile Security Research Team spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8692: Lilang Wu a Moony Li z tímu Mobile Security Research Team spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum aktualizovania záznamu: 25. júla 2019
Heimdal
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.5
Dopad: V reimplementácii Samba dochádzalo k problému, ktorý mohol útočníkom povoliť vykonávať neoprávnené akcie prostredníctvom zachytávania komunikácie medzi službami.
Popis: Tento problém bol vyriešený vylepšením kontrol, aby sa zabránilo neoprávneným akciám.
CVE-2018-16860: Isaac Boukris a Andrew Bartlett z tímov Samba Team a Catalyst
IOAcceleratorFamily
Dostupné pre: macOS Mojave 10.14.5
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8694: Arash Tohidi zo spoločnosti Solita
libxslt
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.5
Dopad: Vzdialený útočník môže byť schopný zobraziť si citlivé informácie.
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-13118: Nájdené programom OSS-Fuzz
Rýchly náhľad
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.5
Dopad: Útočník môže byť schopný vyvolať v apke použitie predtým uvoľnenej pamäte (chyba use-after-free), čím spôsobí deserializáciu nedôveryhodnej triedy NSDictionary.
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2019-8662: natashenka a Samuel Groß z tímu Google Project Zero
Safari
Dostupné pre: macOS Mojave 10.14.5
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8670: Tsubasa FUJII (@reinforchu)
Zabezpečenie
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Apka môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8697: ccpwd v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
sips
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Apka môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) a pjf z tímu IceSword Lab spoločnosti Qihoo 360
Dátum pridania záznamu: 8. októbra 2019
Siri
Dostupné pre: macOS Mojave 10.14.5
Dopad: Vzdialený útočník môže byť schopný spôsobiť únik pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8646: natashenka z tímu Google Project Zero
Time Machine
Dostupné pre: macOS Mojave 10.14.5
Dopad: Stav šifrovania zálohy Time Machine môže byť nesprávny.
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8667: Roland Kletzing zo spoločnosti cyber:con GmbH
UIFoundation
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.5
Dopad: Analýza dokumentu balíka Office so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8657: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: macOS Mojave 10.14.5
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Pri spracovávaní načítania dokumentov dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2019-8690: Sergei Glazunov z tímu Google Project Zero
WebKit
Dostupné pre: macOS Mojave 10.14.5
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Pri spracovávaní synchrónneho načítania stránok dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2019-8649: Sergei Glazunov z tímu Google Project Zero
WebKit
Dostupné pre: macOS Mojave 10.14.5
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8658: akayn v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: macOS Mojave 10.14.5
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2019-8644: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8666: Zongming Wang (王宗明) a Zhe Jin (金哲) z tímu Chengdu Security Response Center spoločnosti Qihoo 360 Technology Co. Ltd.
CVE-2019-8669: akayn v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8671: Apple
CVE-2019-8672: Samuel Groß z tímu Google Project Zero
CVE-2019-8673: Soyeon Park a Wen Xu z tímu SSLab na univerzite Georgia Tech
CVE-2019-8676: Soyeon Park a Wen Xu z tímu SSLab na univerzite Georgia Tech
CVE-2019-8677: Jihui Lu z tímu KeenLab spoločnosti Tencent
CVE-2019-8678: Anonymný výskumník, Anthony Lai (@darkfloyd1014) zo spoločnosti Knownsec, Ken Wong (@wwkenwong) zo spoločnosti VXRL, Jeonghoon Shin (@singi21a) zo spoločnosti Theori, Johnny Yu (@straight_blast) z tímu VX Browser Exploitation Group, Chris Chan (@dr4g0nfl4me) z tímu VX Browser Exploitation Group, Phil Mok (@shadyhamsters) z tímu VX Browser Exploitation Group, Alan Ho (@alan_h0) zo spoločnosti Knownsec, Byron Wai z tímu VX Browser Exploitation
CVE-2019-8679: Jihui Lu z tímu KeenLab spoločnosti Tencent
CVE-2019-8680: Jihui Lu z tímu KeenLab spoločnosti Tencent
CVE-2019-8681: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8683: lokihardt z tímu Google Project Zero
CVE-2019-8684: lokihardt z tímu Google Project Zero
CVE-2019-8685: akayn, Dongzhuo Zhao v spolupráci s tímom ADLab spoločnosti Venustech, Ken Wong (@wwkenwong) zo spoločnosti VXRL, Anthony Lai (@darkfloyd1014) zo spoločnosti VXRL a Eric Lung (@Khlung1) zo spoločnosti VXRL
CVE-2019-8686: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8687: Apple
CVE-2019-8688: Insu Yun z tímu SSLab na univerzite Georgia Tech
CVE-2019-8689: lokihardt z tímu Google Project Zero
Ďalšie poďakovanie
Učebňa
Poďakovanie za pomoc si zaslúži Jeff Johnson zo stránky underpassapp.com.
Game Center
Poďakovanie za pomoc si zaslúžia Min (Spark) Zheng a Xiaolong Bai zo spoločnosti Alibaba Inc.