Obsah zabezpečenia v systéme macOS Catalina 10.15.4, aktualizácii zabezpečenia 2020-002 Mojave a aktualizácii zabezpečenia 2020-002 High Sierra

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Catalina 10.15.4, aktualizácii zabezpečenia 2020-002 Mojave a aktualizácii zabezpečenia 2020-002 High Sierra.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Catalina 10.15.4, aktualizácia zabezpečenia 2020-002 Mojave, aktualizácia zabezpečenia 2020-002 High Sierra

Dátum vydania: 24. marca 2020

Podpora pre Apple HSSPI

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-3903: Proteas z tímu Nirvan Team spoločnosti Qihoo 360

Dátum aktualizácie záznamu: 1. mája 2020

AppleGraphicsControl

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením správy stavu.

CVE-2020-3904: Proteas z tímu Nirvan Team spoločnosti Qihoo 360

AppleMobileFileIntegrity

Dostupné pre: macOS Catalina 10.15.3

Dopad: Aplikácia môže byť schopná použiť ľubovoľné oprávnenia

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2020-3883: Linus Henze (pinauten.de)

Bluetooth

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-3907: Yu Wang zo spoločnosti Didi Research America

CVE-2020-3908: Yu Wang zo spoločnosti Didi Research America

CVE-2020-3912: Yu Wang zo spoločnosti Didi Research America

Bluetooth

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-3892: Yu Wang zo spoločnosti Didi Research America

CVE-2020-3893: Yu Wang zo spoločnosti Didi Research America

CVE-2020-3905: Yu Wang zo spoločnosti Didi Research America

Bluetooth

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2019-8853: Jianjun Dai z tímu Alpha Lab spoločnosti Qihoo 360

História hovorov

Dostupné pre: macOS Catalina 10.15.3

Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k histórii hovorov používateľa

Popis: Tento problém bol vyriešený novými oprávneniami.

CVE-2020-9776: Benjamin Randazzo (@____benjamin)

CoreBluetooth

Dostupné pre: macOS Catalina 10.15.3

Dôsledok: Vzdialený útočník môže byť schopný spôsobiť únik citlivých používateľských informácií

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9828: Jianjun Dai z tímu Alpha Lab spoločnosti Qihoo 360

Dátum pridania záznamu: 13. mája 2020

CoreFoundation

Dostupné pre: macOS Catalina 10.15.3

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému s povoleniami. Tento problém bol vyriešený vylepšením overovania povolení.

CVE-2020-3913: Timo Christ zo spoločnosti Avira Operations GmbH & Co. KG

CUPS

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2020-3898: Stephan Zeisberg (github.com/stze) zo spoločnosti Security Research Labs (srlabs.de)

Dátum pridania záznamu: 8. apríla 2020

FaceTime

Dostupné pre: macOS Catalina 10.15.3

Dopad: Lokálny používateľ môže byť schopný zobraziť si citlivé používateľské informácie

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-3881: Yuval Ron, Amichai Shulman a Eli Biham z univerzity Technion – Izraelský technologický inštitút

Ikony

Dostupné pre: macOS Catalina 10.15.3

Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť, aké ďalšie aplikácie má používateľ nainštalované

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí ikon.

CVE-2020-9773: Chilik Tamir z tímu zLabs spoločnosti Zimperium

Grafický ovládač Intel

Dostupné pre: macOS Catalina 10.15.3

Dopad: Aplikácia so škodlivým kódom môže byť schopná odhaliť vyhradenú pamäť

Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-14615: Wenjian HE z Hongkonskej vedecko-technologickej univerzity, Wei Zhang z Hongkonskej vedecko-technologickej univerzity, Sharad Sinha z Indického technologického inštitútu v Goa a Sanjeev Das zo Severokarolínskej univerzity

IOHIDFamily

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-3919: Anonymný výskumník

IOThunderboltFamily

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-3851: Xiaolong Bai a Min (Spark) Zheng zo spoločnosti Alibaba Inc. a Luyi Xing z Bloomingtonskej univerzity v Indiane

Jadro

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-3914: pattern-f (@pattern_F_) zo spoločnosti WaCai

Jadro

Dostupné pre: macOS Catalina 10.15.3

Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením správy stavu.

CVE-2020-9785: Proteas z tímu Nirvan Team spoločnosti Qihoo 360

libxml2

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Dopad: Viacero problémov v knižnici libxml2

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-3909: LGTM.com

CVE-2020-3911: Nájdené programom OSS-Fuzz

libxml2

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Dopad: Viacero problémov v knižnici libxml2

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.

CVE-2020-3910: LGTM.com

Mail

Dostupné pre: macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Dopad: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného JavaScript kódu

Popis: Dochádzalo k problému súvisiacemu s vložením kódu, ktorý bol vyriešený vylepšením overovania.

CVE-2020-3884: Apple

Tlač

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Dopad: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory

Popis: Dochádzalo k problému súvisiacemu so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2020-3915: Anonymný výskumník v spolupráci s tímom iDefense Labs (https://vcp.idefense.com/), HyungSeok Han (DaramG) @Theori v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 1. mája 2020

Safari

Dostupné pre: macOS Catalina 10.15.3

Dopad: Vo funkcii Čas pred obrazovkou sa môže neočakávane uložiť aktivita používateľa v režime anonymného prezerania

Popis: Dochádzalo k problému so spracovaním tabov zobrazujúcich video funkcie Obraz v obraze. Tento problém bol vyriešený vylepšením spracovania stavu.

CVE-2020-9775: Andrian (@retroplasma), Marat Turaev, Marek Wawro (futurefinance.com) a Sambor Wawro zo školy STO64 v Krakove v Poľsku

Dátum pridania záznamu: 13. mája 2020

Izolovaný priestor

Dostupné pre: macOS Catalina 10.15.3

Dopad: Lokálny používateľ môže byť schopný zobraziť si citlivé používateľské informácie

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení izolovaného priestoru.

CVE-2020-3918: Augusto Alvarez zo spoločnosti Outcourse Limited

Dátum pridania záznamu: 8. apríla 2020

sudo

Dostupné pre: macOS Catalina 10.15.3

Dopad: Útočník môže byť schopný spúšťať príkazy ako neexistujúci používateľ

Popis: Tento problém bol vyriešený aktualizovaním programu sudo na verziu 1.8.31.

CVE-2019-19232

sysdiagnose

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná spustiť nástroj sysdiagnose

Popis: Tento problém bol vyriešený vylepšením kontrol

CVE-2020-9786: Dayton Pidhirney (@_watbulb) zo spoločnosti Seekintoo (@seekintoo)

Dátum pridania záznamu: 4. apríla 2020

TCC

Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.3

Dopad: Aplikácia so škodlivým kódom môže byť schopná obísť vynútenie podpísania kódu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2020-3906: Patrick Wardle zo spoločnosti Jamf

Time Machine

Dostupné pre: macOS Catalina 10.15.3

Dopad: Lokálny používateľ môže byť schopný čítať ľubovoľné súbory

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-3889: Lasse Trolle Borup zo spoločnosti Danish Cyber Defence

Vim

Dostupné pre: macOS Catalina 10.15.3

Dopad: Viacero problémov týkajúcich sa softvéru Vim

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 8.1.1850.

CVE-2020-9769: Steve Hahn zo spoločnosti LinkedIn

WebKit

Dostupné pre: macOS Catalina 10.15.3

Dopad: Niektoré webové stránky sa nemuseli zobrazovať v predvoľbách prehliadača Safari

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2020-9787: Ryan Pickren (ryanpickren.com)

Dátum pridania záznamu: 8. apríla 2020

Ďalšie poďakovanie

CoreText

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Zvuk FireWire

Poďakovanie za pomoc si zaslúžia Xiaolong Bai a Min (Spark) Zheng zo spoločnosti Alibaba Inc. a Luyi Xing z Bloomingtonskej univerzity v Indiane.

FontParser

Poďakovanie za pomoc si zaslúži Matthew Denton z tímu Google Chrome.

Inštalácia staršej zostavy

Poďakovanie za pomoc si zaslúžia Pris Sears z polytechnickej univerzity Virginia Tech, Tom Lynch z inštitútu Creative Computing Institute na univerzite UAL a anonymný výskumník.

LinkPresentation

Poďakovanie za pomoc si zaslúži Travis.

OpenSSH

Poďakovanie za pomoc si zaslúži anonymný výskumník.

rapportd

Poďakovanie za pomoc si zaslúži Alexander Heinrich (@Sn0wfreeze) z Technickej univerzity v Darmstadte.

Sidecar

Poďakovanie za pomoc si zaslúži Rick Backley (@rback_sec).

sudo

Poďakovanie za pomoc si zaslúži Giorgio Oppo (linkedin.com/in/giorgio-oppo/).

Dátum pridania záznamu: 4. apríla 2020

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: