Obsah zabezpečenia v systéme macOS Catalina 10.15

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Catalina 10.15.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Catalina 10.15

Dátum vydania: pondelok 7. októbra 2019

AMD

Dostupné pre: MacBook (začiatok roka 2015 a novší), MacBook Air (polovica roka 2012 a novší), MacBook Pro (polovica roka 2012 a novší), Mac mini (koniec roka 2012 a novší), iMac (koniec roka 2012 a novší), iMac Pro (všetky modely) a Mac Pro (koniec roka 2013 a novší)

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8748: Lilang Wu a Moony Li z tímu Mobile Security Research Team spoločnosti Trend Micro

apache_mod_php

Dosah: Viacero problémov týkajúcich sa PHP

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním PHP na verziu 7.3.8.

CVE-2019-11041

CVE-2019-11042

Audio

Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8706: Yu Zhou z tímu Ant-Financial Light-Year Security Lab

Dátum pridania záznamu: utorok 29. októbra 2019

Audio

Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k odhaleniu vyhradenej pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8850: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: streda 4. decembra 2019

Books

Dosah: Analýza súboru aplikácie iBooks so škodlivým kódom môže viesť k dlhodobému odmietnutiu služby

Popis: Dochádzalo k problému súvisiacemu s vyčerpaním prostriedkov, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8774: Gertjan Franken z výskumnej skupiny imec-DistriNet na KU Leuven

Dátum pridania záznamu: utorok 29. októbra 2019

CFNetwork

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2019-8753: Łukasz Pilorz zo spoločnosti Standard Chartered GBS Poland

Dátum pridania záznamu: utorok 29. októbra 2019

CoreAudio

Dosah: Spracovanie súboru filmu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8705: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreAudio

Dosah: Prehratie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8592: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: streda 6. novembra 2019

CoreCrypto

Dosah: Spracovanie veľkého vstupu môže viesť k odmietnutiu služby

Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8741: Nicky Mouha z Národného inštitútu pre normy a technológie (NIST)

Dátum pridania záznamu: utorok 29. októbra 2019

CoreMedia

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8825: Nájdené programom GWP-ASan v prehliadači Google Chrome

Dátum pridania záznamu: utorok 29. októbra 2019

Crash Reporter

Dosah: Nastavenie Zdieľať analytiku Macu sa nemusí deaktivovať, keď používateľ zruší výber prepínača na zdieľanie analytiky

Popis: Počas čítania a zápisu nastavení používateľa dochádzalo k problému s postupnosťou vykonania procesu. Tento problém bol vyriešený vylepšením spracovania stavu.

CVE-2019-8757: William Cerniuk zo spoločnosti Core Development, LLC

CUPS

Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých používateľských informácií

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8736: Pawel Gocyla zo spoločnosti ING Tech Poland (ingtechpoland.com)

Dátum pridania záznamu: utorok 29. októbra 2019

CUPS

Dopad: Spracovanie reťazca so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8767: Stephen Zeisberg

Dátum pridania záznamu: utorok 29. októbra 2019

CUPS

Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby

Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8737: Pawel Gocyla zo spoločnosti ING Tech Poland (ingtechpoland.com)

Dátum pridania záznamu: utorok 29. októbra 2019

dyld

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8776: Jann Horn z tímu Google Project Zero

Dátum pridania záznamu: pondelok 3. februára 2020

File Quarantine

Dosah: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2019-8509: CodeColorist z tímu Ant-Financial Light-Year Labs

Dátum pridania záznamu: utorok 29. októbra 2019

Foundation

Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8746: natashenka a Samuel Groß z tímu Google Project Zero

Dátum pridania záznamu: utorok 29. októbra 2019

Graphics

Dosah: Spracovanie tieňovača so škodlivým kódom môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2018-12152: Piotr Bania zo spoločnosti Cisco Talos

CVE-2018-12153: Piotr Bania zo spoločnosti Cisco Talos

CVE-2018-12154: Piotr Bania zo spoločnosti Cisco Talos

Dátum pridania záznamu: utorok 29. októbra 2019

IOGraphics

Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8759: another z tímu 360 Nirvan Team

Dátum pridania záznamu: utorok 29. októbra 2019

Intel Graphics Driver

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8758: Lilang Wu a Moony Li zo spoločnosti Trend Micro

IOGraphics

Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2019-8755: Lilang Wu a Moony Li zo spoločnosti Trend Micro

Kernel

Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Tento problém bol vyriešený vylepšením autorizácie.

CVE-2019-8703: Anonymný výskumník

Dátum pridania záznamu: 16. marca 2021

Kernel

Dosah: Miestna apka môže byť schopná čítať perzistentný identifikátor účtu

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2019-8809: Apple

Dátum pridania záznamu: utorok 29. októbra 2019

Kernel

Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

Popis: Pri spracovávaní IPv6 paketov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením správy pamäte.

CVE-2019-8744: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360

Dátum pridania záznamu: utorok 29. októbra 2019

Kernel

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8717: Jann Horn z tímu Google Project Zero

Kernel

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

CVE-2019-8781: Linus Henze (pinauten.de)

Dátum aktualizovania záznamu: utorok 29. októbra 2019

libxml2

Dosah: Viacero problémov v knižnici libxml2

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2019-8749: Nájdené programom OSS-Fuzz

CVE-2019-8756: Nájdené programom OSS-Fuzz

Dátum pridania záznamu: utorok 29. októbra 2019

libxslt

Dosah: Viacero problémov v knižnici libxslt

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2019-8750: Nájdené programom OSS-Fuzz

Dátum pridania záznamu: utorok 29. októbra 2019

mDNSResponder

Dosah: Útočník vo fyzickej blízkosti môže byť schopný pasívne zisťovať názvy zariadení v rámci komunikácie AWDL

Popis: Tento problém sa odstránil nahradením názvov zariadení náhodným identifikátorom.

CVE-2019-8799: David Kreitschmann a Milan Stute z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte

Dátum pridania záznamu: utorok 29. októbra 2019

Menus

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8826: Nájdené programom GWP-ASan v prehliadači Google Chrome

Dátum pridania záznamu: utorok 29. októbra 2019

Notes

Dosah: Miestny používateľ môže byť schopný zobraziť si uzamknuté poznámky iného používateľa

Popis: Vo výsledkoch vyhľadávania sa niekedy zobrazoval obsah zamknutých poznámok. Tento problém bol vyriešený vylepšením čistenia dát.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) z univerzity Virginia Polytechnic Institute and State University

PDFKit

Dosah: Útočník môže byť schopný neoprávnene získať prístup k obsahu zo šifrovaného PDF súboru

Popis: Pri spracúvaní odkazov zo šifrovaných PDF súborov dochádzalo k problému. Tento problém bol vyriešený pridaním výzvy na potvrdenie.

CVE-2019-8772: Jens Müller z Porúrskej univerzity v Bochume, Fabian Ising z Münsterskej univerzity aplikovaných vied, Vladislav Mladenov z Porúrskej univerzity v Bochume, Christian Mainka z Porúrskej univerzity v Bochume, Sebastian Schinzel z Münsterskej univerzity aplikovaných vied a Jörg Schwenk z Porúrskej univerzity v Bochume

PluginKit

Dosah: Miestny používateľ môže kontrolovať existenciu ľubovoľných súborov

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2019-8708: Anonymný výskumník

Dátum pridania záznamu: utorok 29. októbra 2019

PluginKit

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8715: Anonymný výskumník

Dátum pridania záznamu: utorok 29. októbra 2019

Sandbox

Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k súborom s obmedzeným prístupom

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení izolovaného priestoru.

CVE-2019-8855: Apple

Dátum pridania záznamu: streda 18. decembra 2019

SharedFileList

Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k naposledy použitým dokumentom

Popis: Tento problém bol vyriešený vylepšením logiky povolení.

CVE-2019-8770: Stanislav Zinukhov zo spoločnosti Parallels International GmbH

sips

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) a pjf z tímu IceSword Lab spoločnosti Qihoo 360

UIFoundation

Dosah: Analýza textového súboru so škodlivým kódom môže viesť k sprístupneniu informácií používateľa

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2019-8761: Renee Trisberg zo spoločnosti SpectX

Dátum pridania záznamu: 10. augusta 2020, dátum aktualizovania: 21. júla 2021

UIFoundation

Dosah: Spracovanie textového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8745: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

UIFoundation

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8831: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: pondelok 18. novembra 2019

WebKit

Dosah: Návšteva webovej stránky so škodlivým kódom môže viesť k odhaleniu histórie prehliadania

Popis: Dochádzalo k problému s vykresľovaním prvkov webovej stránky. Tento problém bol vyriešený vylepšením logiky.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Dosah: Používateľ môže mať problém s vymazaním položiek histórie prehliadania

Popis: Pri použití možnosti Vymazať históriu a dáta webstránok sa nevyčistila história. Tento problém bol vyriešený vylepšením vymazávania dát.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Wi-Fi

Dosah: Zariadenie možno pasívne sledovať podľa jeho MAC adresy vo Wi-Fi sieti

Popis: Dochádzalo k problému súvisiacemu s ochranou osobných údajov používateľa, ktorý bol vyriešený odstránením MAC adresy vysielania.

CVE-2019-8854: FuriousMacTeam z Námornej akadémie USA a spoločnosti Mitre Corporation, Ta-Lun Yen z tímu UCCU Hacker

Dátum pridania záznamu: streda 4. decembra 2019, dátum aktualizovania: streda 18. decembra 2019

Ďalšie poďakovanie

AppleRTC

Poďakovanie za pomoc si zaslúži Vitaly Cheptsov.

Dátum pridania záznamu: utorok 29. októbra 2019

Audio

Poďakovanie za pomoc si zaslúži riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro.

Dátum pridania záznamu: utorok 29. októbra 2019

boringssl

Poďakovanie za pomoc si zaslúžia Nimrod Aviram z Telavivskej univerzity, Robert Merget z Porúrskej univerzity v Bochume, Juraj Somorovsky z Porúrskej univerzity v Bochume a Thijs Alkemade (@xnyhps) zo spoločnosti Computest.

Dátum pridania záznamu: utorok 8. októbra 2019, dátum aktualizovania: utorok 29. októbra 2019

curl

Poďakovanie za pomoc si zaslúži Joseph Barisa zo School District of Philadelphia.

Dátum pridania záznamu: pondelok 3. februára 2020, dátum aktualizovania: utorok 11. februára 2020

Finder

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit).

Gatekeeper

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit).

Identity Service

Poďakovanie za pomoc si zaslúži Yiğit Can YILMAZ (@yilmazcanyigit).

Dátum pridania záznamu: utorok 29. októbra 2019

Kernel

Poďakovanie za pomoc si zaslúžia Brandon Azad z tímu Google Project Zero a Vlad Tsyrklevich.

Dátum aktualizovania záznamu: 28. júla 2020

Local Authentication

Poďakovanie za pomoc si zaslúži Ryan Lopopolo.

Dátum pridania záznamu: pondelok 3. februára 2020

mDNSResponder

Poďakovanie za pomoc si zaslúži Gregor Lang zo spoločnosti e.solutions GmbH.

Dátum pridania záznamu: utorok 29. októbra 2019

python

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Dátum pridania záznamu: utorok 29. októbra 2019

Safari Data Importing

Poďakovanie za pomoc si zaslúži Kent Zoya.

Security

Poďakovanie za pomoc si zaslúžia Pepijn Dutour Geerling (pepijn.io) a anonymný výskumník.

Dátum pridania záznamu: pondelok 18. novembra 2019

Simple certificate enrollment protocol (SCEP)

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Siri

Poďakovanie za pomoc si zaslúžia Yuval Ron, Amichai Shulman a Eli Biham z izraelskej technologickej univerzity Technion.

Dátum pridania záznamu: streda 4. decembra 2019, dátum aktualizovania: streda 18. decembra 2019

Telephony

Poďakovanie za pomoc si zaslúži Phil Stokes zo spoločnosti SentinelOne.

VPN

Poďakovanie za pomoc si zaslúži Royce Gawron zo spoločnosti Second Son Consulting, Inc.

Dátum pridania záznamu: utorok 29. októbra 2019

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: 6. novembra 2023