Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Catalina 10.15.4, aktualizácia zabezpečenia 2020-002 Mojave, aktualizácia zabezpečenia 2020-002 High Sierra
Dátum vydania: 24. marca 2020
Účty
Dostupné pre: macOS Catalina 10.15.3
Dosah: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2020-9772: Allison Husain z UC Berkeley
Dátum pridania záznamu: 21. mája 2020
Podpora pre Apple HSSPI
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-3903: Proteas z tímu Nirvan Team spoločnosti Qihoo 360
Dátum aktualizácie záznamu: 1. mája 2020
AppleGraphicsControl
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením správy stavu.
CVE-2020-3904: Proteas z tímu Nirvan Team spoločnosti Qihoo 360
AppleMobileFileIntegrity
Dostupné pre: macOS Catalina 10.15.3
Dosah: Aplikácia môže byť schopná použiť ľubovoľné oprávnenia
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-3883: Linus Henze (pinauten.de)
Bluetooth
Dostupné pre: macOS Catalina 10.15.3
Dosah: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať prenosy cez Bluetooth
Popis: Vyskytol sa problém pri používaní PRNG s nízkou entropiou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2020-6616: Jörn Tillmanns (@matedealer) a Jiska Classen (@naehrdine) z tímu Secure Mobile Networking Lab
Dátum pridania záznamu: 21. mája 2020
Bluetooth
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2020-9853: Yu Wang zo spoločnosti Didi Research America
Dátum pridania záznamu: 21. mája 2020
Bluetooth
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-3907: Yu Wang zo spoločnosti Didi Research America
CVE-2020-3908: Yu Wang zo spoločnosti Didi Research America
CVE-2020-3912: Yu Wang zo spoločnosti Didi Research America
CVE-2020-9779: Yu Wang zo spoločnosti Didi Research America
Dátum aktualizovania záznamu: 21. septembra 2020
Bluetooth
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-3892: Yu Wang zo spoločnosti Didi Research America
CVE-2020-3893: Yu Wang zo spoločnosti Didi Research America
CVE-2020-3905: Yu Wang zo spoločnosti Didi Research America
Bluetooth
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2019-8853: Jianjun Dai z tímu Alpha Lab spoločnosti Qihoo 360
História hovorov
Dostupné pre: macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k histórii hovorov používateľa
Popis: Tento problém bol vyriešený novými oprávneniami.
CVE-2020-9776: Benjamin Randazzo (@____benjamin)
CoreBluetooth
Dostupné pre: macOS Catalina 10.15.3
Dosah: Vzdialený útočník môže byť schopný spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9828: Jianjun Dai z tímu Alpha Lab spoločnosti Qihoo 360
Dátum pridania záznamu: 13. mája 2020
CoreFoundation
Dostupné pre: macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s povoleniami. Tento problém bol vyriešený vylepšením overovania povolení.
CVE-2020-3913: Timo Christ zo spoločnosti Avira Operations GmbH & Co. KG
CoreText
Dostupné pre: macOS Catalina 10.15.3
Dosah: Spracovanie textovej správy so škodlivým kódom môže viesť k odmietnutiu služby aplikácie
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2020-9829: Aaron Perris (@aaronp613), anonymný výskumník, anonymný výskumník, Carlos S Tech, Sam Menzies z tímu Sam’s Lounge, Sufiyan Gouri z Lovely Professional University v Indii, Suleman Hasan Rathor z tímu Arabic-Classroom.com
Dátum pridania záznamu: 21. mája 2020
CUPS
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2020-3898: Stephan Zeisberg (github.com/stze) zo spoločnosti Security Research Labs (srlabs.de)
Dátum pridania záznamu: 8. apríla 2020
FaceTime
Dostupné pre: macOS Catalina 10.15.3
Dosah: Lokálny používateľ môže byť schopný zobraziť si citlivé používateľské informácie
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-3881: Yuval Ron, Amichai Shulman a Eli Biham z univerzity Technion – Izraelský technologický inštitút
Grafický ovládač Intel
Dostupné pre: macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2020-3886: Proteas
Dátum pridania záznamu: 16. marca 2021
Grafický ovládač Intel
Dostupné pre: macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná odhaliť vyhradenú pamäť
Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-14615: Wenjian HE z Hongkonskej vedecko-technologickej univerzity, Wei Zhang z Hongkonskej vedecko-technologickej univerzity, Sharad Sinha z Indického technologického inštitútu v Goa a Sanjeev Das zo Severokarolínskej univerzity
IOHIDFamily
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-3919: Alex Plaskett zo spoločnosti F-Secure Consulting
Dátum aktualizácie záznamu: 21. mája 2020
IOThunderboltFamily
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2020-3851: Xiaolong Bai a Min (Spark) Zheng zo spoločnosti Alibaba Inc. a Luyi Xing z Bloomingtonskej univerzity v Indiane
iTunes
Dostupné pre: macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2020-3896: Christoph Falta
Dátum pridania záznamu: 16. marca 2021
Jadro
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Dosah: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-3914: pattern-f (@pattern_F_) zo spoločnosti WaCai
Jadro
Dostupné pre: macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením správy stavu.
CVE-2020-9785: Proteas z tímu Nirvan Team spoločnosti Qihoo 360
libxml2
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Dosah: Viacero problémov v knižnici libxml2
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-3909: LGTM.com
CVE-2020-3911: Nájdené programom OSS-Fuzz
libxml2
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Dosah: Viacero problémov v knižnici libxml2
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.
CVE-2020-3910: LGTM.com
Dostupné pre: macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dosah: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného JavaScript kódu
Popis: Dochádzalo k problému súvisiacemu s vložením kódu, ktorý bol vyriešený vylepšením overovania.
CVE-2020-3884: Apple
Tlač
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2020-3915: Anonymný výskumník v spolupráci s tímom iDefense Labs (https://vcp.idefense.com/), HyungSeok Han (DaramG) @Theori v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 1. mája 2020
Safari
Dostupné pre: macOS Catalina 10.15.3
Dosah: Vo funkcii Čas pred obrazovkou sa môže neočakávane uložiť aktivita používateľa v režime anonymného prezerania
Popis: Dochádzalo k problému so spracovaním tabov zobrazujúcich video funkcie Obraz v obraze. Tento problém bol vyriešený vylepšením spracovania stavu.
CVE-2020-9775: Andrian (@retroplasma), Marat Turaev, Marek Wawro (futurefinance.com) a Sambor Wawro zo školy STO64 v Krakove v Poľsku
Dátum pridania záznamu: 13. mája 2020
Izolovaný priestor
Dostupné pre: macOS Catalina 10.15.3
Dosah: Používateľ môže získať prístup do chránených častí súborového systému
Popis: Tento problém bol vyriešený novými oprávneniami.
CVE-2020-9771: Csaba Fitzl (@theevilbit) zo spoločnosti Offensive Security
Dátum pridania záznamu: 21. mája 2020
Izolovaný priestor
Dostupné pre: macOS Catalina 10.15.3
Dosah: Lokálny používateľ môže byť schopný zobraziť si citlivé používateľské informácie
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení izolovaného priestoru.
CVE-2020-3918: anonymný výskumník, Augusto Alvarez zo spoločnosti Outcourse Limited
Dátum pridania položky: 8. apríla 2020, dátum aktualizovania: 21. mája 2020
sudo
Dostupné pre: macOS Catalina 10.15.3
Dosah: Útočník môže byť schopný spúšťať príkazy ako neexistujúci používateľ
Popis: Tento problém bol vyriešený aktualizovaním programu sudo na verziu 1.8.31.
CVE-2019-19232
sysdiagnose
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Aplikácia môže byť schopná spustiť nástroj sysdiagnose
Popis: Tento problém bol vyriešený vylepšením kontrol
CVE-2020-9786: Dayton Pidhirney (@_watbulb) zo spoločnosti Seekintoo (@seekintoo)
Dátum pridania záznamu: 4. apríla 2020
TCC
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná obísť vynútenie podpísania kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2020-3906: Patrick Wardle zo spoločnosti Jamf
Time Machine
Dostupné pre: macOS Catalina 10.15.3
Dosah: Lokálny používateľ môže byť schopný čítať ľubovoľné súbory
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-3889: Lasse Trolle Borup zo spoločnosti Danish Cyber Defence
Vim
Dostupné pre: macOS Catalina 10.15.3
Dosah: Viacero problémov týkajúcich sa softvéru Vim
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 8.1.1850.
CVE-2020-9769: Steve Hahn zo spoločnosti LinkedIn
WebKit
Dostupné pre: macOS Catalina 10.15.3
Dosah: Niektoré webové stránky sa nemuseli zobrazovať v predvoľbách prehliadača Safari
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2020-9787: Ryan Pickren (ryanpickren.com)
Dátum pridania záznamu: 8. apríla 2020
WebKit
Dostupné pre: macOS Catalina 10.15.3
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)
Dátum pridania záznamu: 28. júla 2020
Ďalšie poďakovanie
CoreText
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Zvuk FireWire
Poďakovanie za pomoc si zaslúžia Xiaolong Bai a Min (Spark) Zheng zo spoločnosti Alibaba Inc. a Luyi Xing z Bloomingtonskej univerzity v Indiane.
FontParser
Poďakovanie za pomoc si zaslúži Matthew Denton z tímu Google Chrome.
Inštalátor
Poďakovanie za pomoc si zaslúžia Pris Sears z polytechnickej univerzity Virginia Tech, Tom Lynch z inštitútu Creative Computing Institute na univerzite UAL a dvaja anonymní výskumníci.
Dátum pridania záznamu: 15. decembra 2020
Inštalácia staršej zostavy
Poďakovanie za pomoc si zaslúžia Pris Sears z polytechnickej univerzity Virginia Tech, Tom Lynch z inštitútu Creative Computing Institute na univerzite UAL a anonymný výskumník.
LinkPresentation
Poďakovanie za pomoc si zaslúži Travis.
OpenSSH
Poďakovanie za pomoc si zaslúži anonymný výskumník.
rapportd
Poďakovanie za pomoc si zaslúži Alexander Heinrich (@Sn0wfreeze) z Technickej univerzity v Darmstadte.
Sidecar
Poďakovanie za pomoc si zaslúži Rick Backley (@rback_sec).
sudo
Poďakovanie za pomoc si zaslúži Giorgio Oppo (linkedin.com/in/giorgio-oppo/).
Dátum pridania záznamu: 4. apríla 2020