Obsah zabezpečenia v systéme macOS Catalina 10.15.1, aktualizácii zabezpečenia 2019-001 a aktualizácii zabezpečenia 2019-006.

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Catalina 10.15.1, aktualizácii zabezpečenia 2019-001 a aktualizácii zabezpečenia 2019-006.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Catalina 10.15.1, aktualizácia zabezpečenia 2019-001, aktualizácia zabezpečenia 2019-006

Dátum vydania: 29. októbra 2019

Účty

Dostupné pre: macOS Catalina 10.15

Dosah: Vzdialený útočník môže byť schopný spôsobiť únik pamäte

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8787: Steffen Klee z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte

App Store

Dostupné pre: macOS Catalina 10.15

Dosah: Lokálny útočník sa môže prihlásiť do účtu predtým prihláseného používateľa bez použitia platných prihlasovacích údajov.

Popis: Dochádzalo k problému súvisiacemu s overovaním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Dostupné pre: macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8716: Zhiyi Zhang z tímu Codesafe Team of Legendsec spoločnosti Qi'anxin Group, Zhuo Liang z tímu Qihoo 360 Vulcan Team

Priradené domény

Dostupné pre: macOS Catalina 10.15

Dosah: Nesprávne spracovanie URL adries môže viesť k exfiltrácii údajov

Popis: Pri analýze adries URL správ dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2019-8788: Juha Lindstedt z tímu Pakastin, Mirko Tanania a Rauli Rikama z tímu Zero Keyboard Ltd

Zvuk

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8706: Yu Zhou zo spoločnosti Ant-financial Light-Year Security Lab

Zvuk

Dostupné pre: macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8785: Ian Beer z tímu Google Project Zero

CVE-2019-8797: 08Tc3wBB v spolupráci so spoločnosťou SSD Secure Disclosure

Knihy

Dostupné pre: macOS Catalina 10.15

Dosah: Analýza súboru aplikácie iBooks so škodlivým kódom môže viesť k sprístupneniu informácií používateľa

Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2019-8789: Gertjan Franken z tímu imec-DistriNet, KU Leuven

Kontakty

Dostupné pre: macOS Catalina 10.15

Dosah: Spracovanie kontaktu so škodlivým kódom môže viesť k sfalšovaniu používateľského rozhrania

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2017-7152: Oliver Paukstadt zo spoločnosti Thinking Objects GmbH (to.com)

CUPS

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Útočník s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých používateľských informácií

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8736: Pawel Gocyla zo spoločnosti ING Tech Poland (ingtechpoland.com)

CUPS

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Spracovanie reťazca so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8767: Stephen Zeisberg

CUPS

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby

Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8737: Pawel Gocyla zo spoločnosti ING Tech Poland (ingtechpoland.com)

Karanténa súborov

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2019-8509: CodeColorist z tímu Ant-Financial LightYear Labs

Udalosti súborového systému

Dostupné pre: macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8798: ABC Research s.r.o. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Grafika

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Spracovanie tieňovača so škodlivým kódom môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2018-12152: Piotr Bania zo spoločnosti Cisco Talos

CVE-2018-12153: Piotr Bania zo spoločnosti Cisco Talos

CVE-2018-12154: Piotr Bania zo spoločnosti Cisco Talos

Ovládač grafickej karty

Dostupné pre: macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8784: Vasiliy Vasilyev a Ilya Finogeev z tímu Webinar, LLC

Grafický ovládač Intel

Dostupné pre: macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8807: Yu Wang z tímu Didi Research America

IOGraphics

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8759: iný člen tímu Qihoo 360 Nirvan

iTunes

Dostupné pre: macOS Catalina 10.15

Dosah: Spustenie inštalátora iTunes v nedôveryhodnom adresári môže spôsobiť svojvoľné spustenie kódu

Popis: Pri nastavovaní služby iTunes sa vyskytoval problém s načítavaním dynamickej knižnice. Tento problém bol vyriešený vylepšením vyhľadávania cesty.

CVE-2019-8801: Hou JingYi (@hjy79425575) zo spoločnosti Qihoo 360 CERT

Jadro

Dostupné pre: macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2019-8794: 08Tc3wBB v spolupráci so spoločnosťou SSD Secure Disclosure

Jadro

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8786: Anonymný výskumník

Jadro

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

Popis: Pri spracovávaní IPv6 paketov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením správy pamäte.

CVE-2019-8744: Zhuo Liang z tímu Qihoo 360 Vulcan Team

libxml2

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Viacero problémov v knižnici libxml2

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2019-8749: Nájdené programom OSS-Fuzz

CVE-2019-8756: Nájdené programom OSS-Fuzz

libxslt

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Viacero problémov v knižnici libxslt

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2019-8750: Nájdené programom OSS-Fuzz

manpages

Dostupné pre: macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Škodlivá aplikácia môže byť schopná získať prístup k oprávneniam správcu

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PluginKit

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Lokálny používateľ môže kontrolovať existenciu ľubovoľných súborov

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2019-8708: Anonymný výskumník

PluginKit

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8715: Anonymný výskumník

Systémové rozšírenia

Dostupné pre: macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Pri overovaní oprávnení dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania oprávnení procesov.

CVE-2019-8805: Scott Knight (@sdotknight) zo spoločnosti VMware Carbon Black TAU

UIFoundation

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Analýza textového súboru so škodlivým kódom môže viesť k sprístupneniu informácií používateľa

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2019-8761: Renee Trisberg zo spoločnosti SpectX

Ďalšie poďakovanie

CFNetwork

Poďakovanie za pomoc si zaslúži Lily Chen zo spoločnosti Google.

Jadro

Poďakovanie za pomoc si zaslúžia Brandon Azad z tímu Google Project Zero a Jann Horn z tímu Google Project Zero.

libresolv

Poďakovanie za pomoc si zaslúži enh zo spoločnosti Google.

Postfix

Poďakovanie za pomoc si zaslúži Chris Barker zo spoločnosti Puppet.

Profily

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit).

python

Poďakovanie za pomoc si zaslúži anonymný výskumník.

VPN

Poďakovanie za pomoc si zaslúži Royce Gawron zo spoločnosti Second Son Consulting, Inc.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: