Obsah zabezpečenia v systéme macOS Catalina 10.15.2, aktualizácii zabezpečenia 2019-002 Mojave a aktualizácii zabezpečenia 2019-007 High Sierra

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Catalina 10.15.2, aktualizácii zabezpečenia 2019-002 Mojave a aktualizácii zabezpečenia 2019-007 High Sierra.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Catalina 10.15.2, aktualizácia zabezpečenia 2019-002 Mojave, aktualizácia zabezpečenia 2019-007 High Sierra

Vydané 10. decembra 2019

ATS

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k súborom s obmedzeným prístupom

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2019-8837: Csaba Fitzl (@theevilbit)

Dátum aktualizácie záznamu: 18. decembra 2019

Bluetooth

Dostupné pre: macOS Catalina 10.15

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2019-8853: Jianjun Dai z tímu Alpha Lab spoločnosti Qihoo 360

CallKit

Dostupné pre: macOS Catalina 10.15

Dosah: V zariadeniach s dvoma aktívnymi programami sa môžu hovory uskutočnené pomocou Siri iniciovať použitím nesprávneho programu

Popis: Pri spracúvaní odchádzajúcich telefonických hovorov iniciovaných prostredníctvom Siri dochádzalo k problému s rozhraním API. Tento problém bol vyriešený vylepšením spracovania stavu.

CVE-2019-8856: Fabrice TERRANCLE zo spoločnosti TERRANCLE SARL

Servery proxy CFNetwork

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2019-8848: Zhuo Liang z tímu Qihoo 360 Vulcan Team

Dátum aktualizácie záznamu: 18. decembra 2019

CUPS

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: V niektorých konfiguráciách môže byť vzdialený útočník schopný odosielať ľubovoľné tlačové úlohy

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8842: Niky1235 zo spoločnosti China Mobile

Dátum aktualizácie záznamu: 18. decembra 2019

CUPS

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8839: Stephan Zeisberg zo spoločnosti Security Research Labs

Dátum aktualizácie záznamu: 18. decembra 2019

FaceTime

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: Spracovanie videa so škodlivým kódom cez FaceTime môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8830: Natalie Silvanovich z tímu Google Project Zero

Dátum aktualizácie záznamu: 18. decembra 2019

Jadro

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2019-8833: Ian Beer z tímu Google Project Zero

Dátum aktualizácie záznamu: 18. decembra 2019

Jadro

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8828: Cim Stordal zo spoločnosti Cognite

CVE-2019-8838: Dr Silvio Cesare zo spoločnosti InfoSect

CVE-2019-8847: Apple

CVE-2019-8852: pattern-f (@pattern_F_) zo spoločnosti WaCai

libexpat

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Analýza súboru XML so škodlivým kódom môže viesť k odkrytiu informácií o používateľoch

Popis: Tento problém bol vyriešený aktualizovaním súčasti expat na verziu 2.2.8.

CVE-2019-15903: Joonun Jang

Dátum aktualizácie záznamu: 18. decembra 2019

OpenLDAP

Dostupné pre: macOS Catalina 10.15

Dosah: Viacero problémov týkajúcich sa softvéru OpenLDAP

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním softvéru OpenLDAP na verziu 2.4.28.

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

Zabezpečenie

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8832: Insu Yun z tímu SSLab na univerzite Georgia Tech

tcpdump

Dostupné pre: macOS Catalina 10.15

Dosah: Viacero problémov v súčasti tcpdump

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním súčasti tcpdump na verziu 4.9.3 a súčasti libpcap na verziu 1.9.1.

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

CVE-2019-15166

CVE-2019-15167

Ďalšie poďakovanie

Účty

Poďakovanie za pomoc si zaslúžia Kishan Bagaria (KishanBagaria.com) a Tom Snelling z univerzity Loughborough University.

Core Data

Poďakovanie za pomoc si zaslúži Natalie Silvanovich z tímu Google Project Zero.

Finder

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit).

Dátum pridania záznamu: 18. decembra 2019

Jadro

Poďakovanie za pomoc si zaslúži Daniel Roethlisberger zo spoločnosti Swisscom CSIRT.

Dátum pridania záznamu: 18. decembra 2019

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: