Obsah zabezpečenia v systéme macOS Catalina 10.15
V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Catalina 10.15.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Catalina 10.15
AMD
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8748: Lilang Wu a Moony Li z tímu Mobile Security Research Team spoločnosti Trend Micro
apache_mod_php
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Viacero problémov týkajúcich sa PHP
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním PHP na verziu 7.3.8.
CVE-2019-11041
CVE-2019-11042
Audio
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8706: Yu Zhou z tímu Ant-Financial Light-Year Security Lab
Audio
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k odhaleniu vyhradenej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8850: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Books
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Analýza súboru aplikácie iBooks so škodlivým kódom môže viesť k dlhodobému odmietnutiu služby
Popis: Dochádzalo k problému súvisiacemu s vyčerpaním prostriedkov, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8774: Gertjan Franken z výskumnej skupiny imec-DistriNet na KU Leuven
CFNetwork
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2019-8753: Łukasz Pilorz zo spoločnosti Standard Chartered GBS Poland
CoreAudio
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Spracovanie súboru filmu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8705: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CoreAudio
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Prehratie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8592: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CoreCrypto
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Spracovanie veľkého vstupu môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8741: Nicky Mouha z Národného inštitútu pre normy a technológie (NIST)
CoreMedia
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8825: Nájdené programom GWP-ASan v prehliadači Google Chrome
Crash Reporter
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Nastavenie Zdieľať analytiku Macu sa nemusí deaktivovať, keď používateľ zruší výber prepínača na zdieľanie analytiky
Popis: Počas čítania a zápisu nastavení používateľa dochádzalo k problému s postupnosťou vykonania procesu. Tento problém bol vyriešený vylepšením spracovania stavu.
CVE-2019-8757: William Cerniuk zo spoločnosti Core Development, LLC
CUPS
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8736: Pawel Gocyla zo spoločnosti ING Tech Poland (ingtechpoland.com)
CUPS
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dopad: Spracovanie reťazca so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8767: Stephen Zeisberg
CUPS
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8737: Pawel Gocyla zo spoločnosti ING Tech Poland (ingtechpoland.com)
dyld
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8776: Jann Horn z tímu Google Project Zero
File Quarantine
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2019-8509: CodeColorist z tímu Ant-Financial Light-Year Labs
Foundation
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8746: natashenka a Samuel Groß z tímu Google Project Zero
Graphics
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Spracovanie tieňovača so škodlivým kódom môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2018-12152: Piotr Bania zo spoločnosti Cisco Talos
CVE-2018-12153: Piotr Bania zo spoločnosti Cisco Talos
CVE-2018-12154: Piotr Bania zo spoločnosti Cisco Talos
IOGraphics
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8759: another z tímu 360 Nirvan Team
Intel Graphics Driver
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8758: Lilang Wu a Moony Li zo spoločnosti Trend Micro
IOGraphics
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2019-8755: Lilang Wu a Moony Li zo spoločnosti Trend Micro
Kernel
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2019-8703: Anonymný výskumník
Kernel
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Miestna apka môže byť schopná čítať perzistentný identifikátor účtu
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2019-8809: Apple
Kernel
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Pri spracovávaní IPv6 paketov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením správy pamäte.
CVE-2019-8744: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360
Kernel
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8717: Jann Horn z tímu Google Project Zero
Kernel
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
CVE-2019-8781: Linus Henze (pinauten.de)
libxml2
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Viacero problémov v knižnici libxml2
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2019-8749: Nájdené programom OSS-Fuzz
CVE-2019-8756: Nájdené programom OSS-Fuzz
libxslt
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Viacero problémov v knižnici libxslt
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2019-8750: Nájdené programom OSS-Fuzz
mDNSResponder
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Útočník vo fyzickej blízkosti môže byť schopný pasívne zisťovať názvy zariadení v rámci komunikácie AWDL
Popis: Tento problém sa odstránil nahradením názvov zariadení náhodným identifikátorom.
CVE-2019-8799: David Kreitschmann a Milan Stute z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte
Menus
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8826: Nájdené programom GWP-ASan v prehliadači Google Chrome
Notes
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Miestny používateľ môže byť schopný zobraziť si uzamknuté poznámky iného používateľa
Popis: Vo výsledkoch vyhľadávania sa niekedy zobrazoval obsah zamknutých poznámok. Tento problém bol vyriešený vylepšením čistenia dát.
CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) z univerzity Virginia Polytechnic Institute and State University
PDFKit
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Útočník môže byť schopný neoprávnene získať prístup k obsahu zo šifrovaného PDF súboru
Popis: Pri spracúvaní odkazov zo šifrovaných PDF súborov dochádzalo k problému. Tento problém bol vyriešený pridaním výzvy na potvrdenie.
CVE-2019-8772: Jens Müller z Porúrskej univerzity v Bochume, Fabian Ising z Münsterskej univerzity aplikovaných vied, Vladislav Mladenov z Porúrskej univerzity v Bochume, Christian Mainka z Porúrskej univerzity v Bochume, Sebastian Schinzel z Münsterskej univerzity aplikovaných vied a Jörg Schwenk z Porúrskej univerzity v Bochume
PluginKit
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Miestny používateľ môže kontrolovať existenciu ľubovoľných súborov
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2019-8708: Anonymný výskumník
PluginKit
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8715: Anonymný výskumník
Sandbox
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k súborom s obmedzeným prístupom
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení izolovaného priestoru.
CVE-2019-8855: Apple
SharedFileList
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k naposledy použitým dokumentom
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2019-8770: Stanislav Zinukhov zo spoločnosti Parallels International GmbH
sips
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) a pjf z tímu IceSword Lab spoločnosti Qihoo 360
UIFoundation
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Analýza textového súboru so škodlivým kódom môže viesť k sprístupneniu informácií používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2019-8761: Renee Trisberg zo spoločnosti SpectX
UIFoundation
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Spracovanie textového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8745: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
UIFoundation
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8831: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Návšteva webovej stránky so škodlivým kódom môže viesť k odhaleniu histórie prehliadania
Popis: Dochádzalo k problému s vykresľovaním prvkov webovej stránky. Tento problém bol vyriešený vylepšením logiky.
CVE-2019-8769: Piérre Reimertz (@reimertz)
WebKit
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Používateľ môže mať problém s vymazaním položiek histórie prehliadania
Popis: Pri použití možnosti Vymazať históriu a dáta webstránok sa nevyčistila história. Tento problém bol vyriešený vylepšením vymazávania dát.
CVE-2019-8768: Hugo S. Diaz (coldpointblue)
Wi-Fi
Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)
Dosah: Zariadenie možno pasívne sledovať podľa jeho MAC adresy vo Wi-Fi sieti
Popis: Dochádzalo k problému súvisiacemu s ochranou osobných údajov používateľa, ktorý bol vyriešený odstránením MAC adresy vysielania.
CVE-2019-8854: FuriousMacTeam z Námornej akadémie USA a spoločnosti Mitre Corporation, Ta-Lun Yen z tímu UCCU Hacker
Ďalšie poďakovanie
AppleRTC
Poďakovanie za pomoc si zaslúži Vitaly Cheptsov.
Audio
Poďakovanie za pomoc si zaslúži riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro.
boringssl
Poďakovanie za pomoc si zaslúžia Nimrod Aviram z Telavivskej univerzity, Robert Merget z Porúrskej univerzity v Bochume, Juraj Somorovsky z Porúrskej univerzity v Bochume a Thijs Alkemade (@xnyhps) zo spoločnosti Computest.
curl
Poďakovanie za pomoc si zaslúži Joseph Barisa zo School District of Philadelphia.
Finder
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit).
Gatekeeper
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit).
Identity Service
Poďakovanie za pomoc si zaslúži Yiğit Can YILMAZ (@yilmazcanyigit).
Kernel
Poďakovanie za pomoc si zaslúžia Brandon Azad z tímu Google Project Zero a Vlad Tsyrklevich.
Local Authentication
Poďakovanie za pomoc si zaslúži Ryan Lopopolo.
mDNSResponder
Poďakovanie za pomoc si zaslúži Gregor Lang zo spoločnosti e.solutions GmbH.
python
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Safari Data Importing
Poďakovanie za pomoc si zaslúži Kent Zoya.
Security
Poďakovanie za pomoc si zaslúžia Pepijn Dutour Geerling (pepijn.io) a anonymný výskumník.
Simple certificate enrollment protocol (SCEP)
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Siri
Poďakovanie za pomoc si zaslúžia Yuval Ron, Amichai Shulman a Eli Biham z izraelskej technologickej univerzity Technion.
Telephony
Poďakovanie za pomoc si zaslúži Phil Stokes zo spoločnosti SentinelOne.
VPN
Poďakovanie za pomoc si zaslúži Royce Gawron zo spoločnosti Second Son Consulting, Inc.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.