Obsah zabezpečenia v systéme macOS Catalina 10.15.2, aktualizácii zabezpečenia 2019-002 Mojave a aktualizácii zabezpečenia 2019-007 High Sierra

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Catalina 10.15.2, aktualizácii zabezpečenia 2019-002 Mojave a aktualizácii zabezpečenia 2019-007 High Sierra.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Catalina 10.15.2, aktualizácia zabezpečenia 2019-002 Mojave, aktualizácia zabezpečenia 2019-007 High Sierra

Dátum vydania: 10. decembra 2019

ATS

K dispozícii pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k súborom s obmedzeným prístupom

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2019-8837: Csaba Fitzl (@theevilbit)

Dátum aktualizácie záznamu: streda 18. decembra 2019

Bluetooth

K dispozícii pre: macOS Catalina 10.15

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2019-8853: Jianjun Dai z tímu Alpha Lab spoločnosti Qihoo 360

CallKit

K dispozícii pre: macOS Catalina 10.15

Dopad: V zariadeniach s dvoma aktívnymi programami sa môžu hovory uskutočnené pomocou Siri iniciovať použitím nesprávneho programu

Popis: Pri spracúvaní odchádzajúcich telefonických hovorov iniciovaných prostredníctvom Siri dochádzalo k problému s rozhraním API. Tento problém bol vyriešený vylepšením spracovania stavu.

CVE-2019-8856: Fabrice TERRANCLE zo spoločnosti TERRANCLE SARL

Servery proxy CFNetwork

K dispozícii pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2019-8848: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360

Dátum aktualizácie záznamu: streda 18. decembra 2019

CFNetwork

K dispozícii pre: macOS Catalina 10.15

Dopad: Útočník s oprávneniami v sieti môže byť schopný obísť zabezpečenie HSTS v prípade obmedzeného počtu konkrétnych domén najvyššej úrovne, ktoré predtým neboli v zozname predbežného načítavania HSTS

Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2019-8834: Rob Sayre (@sayrer)

Dátum pridania záznamu: pondelok 3. februára 2020

CUPS

K dispozícii pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: V niektorých konfiguráciách môže byť vzdialený útočník schopný odosielať ľubovoľné tlačové úlohy

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8842: Niky1235 zo spoločnosti China Mobile

Dátum aktualizácie záznamu: streda 18. decembra 2019

CUPS

K dispozícii pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8839: Stephan Zeisberg zo spoločnosti Security Research Labs

Dátum aktualizácie záznamu: streda 18. decembra 2019

FaceTime

K dispozícii pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: Spracovanie videa so škodlivým kódom cez FaceTime môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8830: Natalie Silvanovich z tímu Google Project Zero

Dátum aktualizácie záznamu: streda 18. decembra 2019

IOGraphics

K dispozícii pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: Mac sa pri zobudení nemusí hneď uzamknúť

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8851: Vladik Khononov zo spoločnosti DoiT International

Dátum pridania záznamu: pondelok 3. februára 2020

Jadro

K dispozícii pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2019-8833: Ian Beer z tímu Google Project Zero

Dátum aktualizácie záznamu: streda 18. decembra 2019

Jadro

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8828: Cim Stordal zo spoločnosti Cognite

CVE-2019-8838: Dr. Silvio Cesare zo spoločnosti InfoSect

CVE-2019-8847: Apple

CVE-2019-8852: pattern-f (@pattern_F_) zo spoločnosti WaCai

libexpat

K dispozícii pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: Analýza súboru XML so škodlivým kódom môže viesť k odkrytiu informácií o používateľoch

Popis: Tento problém bol vyriešený aktualizovaním súčasti expat na verziu 2.2.8.

CVE-2019-15903: Joonun Jang

Dátum aktualizácie záznamu: streda 18. decembra 2019

Poznámky

K dispozícii pre: macOS Catalina 10.15

Dosah: Vzdialený útočník môže byť schopný prepísať existujúce súbory

Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.

CVE-2020-9782: Allison Husain z UC Berkeley

Dátum pridania záznamu: 4. apríla 2020

OpenLDAP

K dispozícii pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: Viacero problémov týkajúcich sa softvéru OpenLDAP

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním softvéru OpenLDAP na verziu 2.4.28.

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

Dátum aktualizácie záznamu: 3. februára 2020

Zabezpečenie

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8832: Insu Yun z tímu SSLab na univerzite Georgia Tech

tcpdump

K dispozícii pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dopad: Viacero problémov v súčasti tcpdump

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním súčasti tcpdump na verziu 4.9.3 a súčasti libpcap na verziu 1.9.1.

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15166

CVE-2019-15167

Dátum aktualizovania záznamu: utorok 11. februára 2020

Wi-Fi

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dopad: Útočník v dosahu Wi-Fi siete môže byť schopný pozrieť si malú časť sieťových prenosov

Popis: Pri spracovávaní prechodov stavu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2019-15126: Milos Cermak zo spoločnosti ESET

Dátum pridania záznamu: 27. februára 2020

Ďalšie poďakovanie

Účty

Poďakovanie za pomoc si zaslúžia Allison Husain z UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling z univerzity v Loughborough.

Dátum aktualizovania záznamu: 4. apríla 2020

Core Data

Poďakovanie za pomoc si zaslúži Natalie Silvanovich z tímu Google Project Zero.

Finder

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit).

Dátum pridania záznamu: streda 18. decembra 2019

Jadro

Poďakovanie za pomoc si zaslúži Daniel Roethlisberger zo spoločnosti Swisscom CSIRT.

Dátum pridania záznamu: streda 18. decembra 2019

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: