Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Catalina 10.15.2, aktualizácia zabezpečenia 2019-002 Mojave, aktualizácia zabezpečenia 2019-007 High Sierra
Dátum vydania: 10. decembra 2019
ATS
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k súborom s obmedzeným prístupom
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2019-8837: Csaba Fitzl (@theevilbit)
Dátum aktualizácie záznamu: streda 18. decembra 2019
Bluetooth
Dostupné pre: macOS Catalina 10.15
Dosah: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2019-8853: Jianjun Dai z tímu Alpha Lab spoločnosti Qihoo 360
CallKit
Dostupné pre: macOS Catalina 10.15
Dopad: V zariadeniach s dvoma aktívnymi programami sa môžu hovory uskutočnené pomocou Siri iniciovať použitím nesprávneho programu
Popis: Pri spracúvaní odchádzajúcich telefonických hovorov iniciovaných prostredníctvom Siri dochádzalo k problému s rozhraním API. Tento problém bol vyriešený vylepšením spracovania stavu.
CVE-2019-8856: Fabrice TERRANCLE zo spoločnosti TERRANCLE SARL
Proxy servery súčasti CFNetwork
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2019-8848: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360
Dátum aktualizácie záznamu: streda 18. decembra 2019
CFNetwork
Dostupné pre: macOS Catalina 10.15
Dopad: Útočník s oprávneniami v sieti môže byť schopný obísť zabezpečenie HSTS v prípade obmedzeného počtu konkrétnych domén najvyššej úrovne, ktoré predtým neboli v zozname predbežného načítavania HSTS
Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2019-8834: Rob Sayre (@sayrer)
Dátum pridania záznamu: pondelok 3. februára 2020
CUPS
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: V niektorých konfiguráciách môže byť vzdialený útočník schopný odosielať ľubovoľné tlačové úlohy
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8842: Niky1235 zo spoločnosti China Mobile
Dátum aktualizácie záznamu: streda 18. decembra 2019
CUPS
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8839: Stephan Zeisberg zo spoločnosti Security Research Labs
Dátum aktualizácie záznamu: streda 18. decembra 2019
FaceTime
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Spracovanie videa so škodlivým kódom cez FaceTime môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8830: natashenka z tímu Google Project Zero
Dátum aktualizácie záznamu: streda 18. decembra 2019
IOGraphics
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Mac sa pri zobudení nemusí hneď uzamknúť
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8851: Vladik Khononov zo spoločnosti DoiT International
Dátum pridania záznamu: pondelok 3. februára 2020
Jadro
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2019-8833: Ian Beer z tímu Google Project Zero
Dátum aktualizácie záznamu: streda 18. decembra 2019
Jadro
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8828: Cim Stordal zo spoločnosti Cognite
CVE-2019-8838: Dr. Silvio Cesare zo spoločnosti InfoSect
CVE-2019-8847: Apple
CVE-2019-8852: pattern-f (@pattern_F_) zo spoločnosti WaCai
libexpat
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Analýza súboru XML so škodlivým kódom môže viesť k odkrytiu informácií o používateľoch
Popis: Tento problém bol vyriešený aktualizovaním súčasti expat na verziu 2.2.8.
CVE-2019-15903: Joonun Jang
Dátum aktualizácie záznamu: streda 18. decembra 2019
Poznámky
Dostupné pre: macOS Catalina 10.15
Dosah: Vzdialený útočník môže byť schopný prepísať existujúce súbory
Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.
CVE-2020-9782: Allison Husain z UC Berkeley
Dátum pridania záznamu: 4. apríla 2020
OpenLDAP
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Viacero problémov týkajúcich sa softvéru OpenLDAP
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním softvéru OpenLDAP na verziu 2.4.28.
CVE-2012-1164
CVE-2012-2668
CVE-2013-4449
CVE-2015-1545
CVE-2019-13057
CVE-2019-13565
Dátum aktualizácie záznamu: 3. februára 2020
Zabezpečenie
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8832: Insu Yun z tímu SSLab na univerzite Georgia Tech
tcpdump
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Viacero problémov v súčasti tcpdump
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním súčasti tcpdump na verziu 4.9.3 a súčasti libpcap na verziu 1.9.1.
CVE-2017-16808
CVE-2018-10103
CVE-2018-10105
CVE-2018-14461
CVE-2018-14462
CVE-2018-14463
CVE-2018-14464
CVE-2018-14465
CVE-2018-14466
CVE-2018-14467
CVE-2018-14468
CVE-2018-14469
CVE-2018-14470
CVE-2018-14879
CVE-2018-14880
CVE-2018-14881
CVE-2018-14882
CVE-2018-16227
CVE-2018-16228
CVE-2018-16229
CVE-2018-16230
CVE-2018-16300
CVE-2018-16301
CVE-2018-16451
CVE-2018-16452
CVE-2019-15166
CVE-2019-15167
Dátum aktualizovania záznamu: utorok 11. februára 2020
Wi-Fi
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dopad: Útočník v dosahu Wi-Fi siete môže byť schopný pozrieť si malú časť sieťových prenosov
Popis: Pri spracovávaní prechodov stavu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2019-15126: Milos Cermak zo spoločnosti ESET
Dátum pridania záznamu: 27. februára 2020
Ďalšie poďakovanie
Účty
Poďakovanie za pomoc si zaslúžia Allison Husain z UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling z univerzity v Loughborough.
Dátum aktualizovania záznamu: 4. apríla 2020
Core Data
Poďakovanie za pomoc si zaslúži natashenka z tímu Google Project Zero.
Finder
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit).
Dátum pridania záznamu: streda 18. decembra 2019
Jadro
Poďakovanie za pomoc si zaslúži Daniel Roethlisberger zo spoločnosti Swisscom CSIRT.
Dátum pridania záznamu: streda 18. decembra 2019