Эксплуатация нескольких уязвимостей позволяет выполнить произвольный код.
7 октября компания Apple представила новую редакцию своей операционной системы macOS – macOS 10.15 (Catalina). Помимо значительного числа важных нововведений и изменений, главным из которых является отказ от программы iTunes, компания устранила 16 уязвимостей в различных компонентах ОС.
В частности, компания исправила уязвимости CVE-2019-8781 и CVE-2019-8717 в ядре macOS, позволявшие выполнить произвольный код. В каждом случае приложение с доступом к ядру в системе может вызвать ошибку повреждения памяти и проэксплуатировать ее. Уязвимости выполнения произвольного кода также были обнаружены в прошивке для AMD (CVE-2019-8748) и Intel Graphics Driver (CVE-2019-8758). Эксплуатация уязвимости (CVE-2019-8745) в компоненте UIFoundation в macOS связана с переполнением буфера. Выполнение кода также может быть достигнуто путем открытия зараженного текстового файла.
В движке Apple WebKit исправлены две уязвимости. Эксплуатация первой (CVE-2019-8769) позволяет злоумышленнику через вредоносный web-сайт отслеживать историю просмотров пользователей, а второй (CVE-2019-8768) — приводит к некорректному сохранению информации, вместо ее удаления.
С полным списком исправленных уязвимостей можно ознакомиться
