نبذة عن محتوى أمان macOS Catalina 10.15.5 وتحديث الأمان ‎2020-003 لـ Mojave وتحديث الأمان ‎2020-003 لـ High Sierra

يتناول هذا المستند محتوى أمان macOS Catalina 10.15.5 وتحديث الأمان ‎2020-003 لـ Mojave وتحديث الأمان ‎2020-003 لـ High Sierra.

حول تحديثات أمان Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID إن أمكن ذلك.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple.

macOS Catalina 10.15.5 وتحديث الأمان ‎2020-003 لـ Mojave وتحديث الأمان ‎2020-003 لـ High Sierra

تاريخ الإصدار: 26 مايو 2020

الحسابات

متوفر لما يلي: macOS Catalina 10.15.4

الأثر: قد يتمكن مخترق عن بُعد من التسبب في رفض الخدمة

الوصف: تمت معالجة مشكلة متعلقة برفض الخدمة من خلال التحقق المحسّن من الإدخال.

CVE-2020-9827:‏ Jannik Lorenz من SEEMOO @ TU Darmstadt

الحسابات

متوفر لما يلي: macOS Mojave 10.14.6 وmacOS High Sierra 10.13.6

التأثير: قد تتمكّن إحدى عمليات وضع الحماية من التحايل على قيود وضع الحماية

الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.

CVE-2020-9772:‏ Allison Husain من UC Berkeley

AirDrop

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

الأثر: قد يتمكن مخترق عن بُعد من التسبب في رفض الخدمة

الوصف: تمت معالجة مشكلة متعلقة برفض الخدمة من خلال التحقق المحسّن من الإدخال.

CVE-2020-9826:‏ Dor Hadad من Palo Alto Networks

AppleMobileFileIntegrity

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Catalina 10.15.4

التأثير: قد يتداخل تطبيق متطفل مع عمليات النظام للوصول إلى معلومات خاصة وتنفيذ إجراءات ذات امتيازات

الوصف: تمت معالجة مشكلة متعلقة بتحليل الاستحقاق عن طريق التحليل المحسّن.

CVE-2020-9842:‏ ‎Linus Henze (pinauten.de)‎

AppleUSBNetworking

متوفر لما يلي: macOS Catalina 10.15.4

التأثير: قد يتسبب إدخال جهاز USB يرسل رسائل غير صالحة إلى حدوث مشكلة kernel

الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.

CVE-2020-9804:‏ Andy Davis من NCC Group

الصوت

متوفر لما يلي: macOS Catalina 10.15.4

التأثير: قد تؤدي معالجة ملف صوتي متطفل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2020-9815:‏ ‎Yu Zhou (@yuzhou6666)‎ بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

الصوت

متوفر لما يلي: macOS Catalina 10.15.4

التأثير: قد تؤدي معالجة ملف صوتي متطفل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.

CVE-2020-9791:‏ ‎Yu Zhou (@yuzhou6666)‎ بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

Bluetooth

متوفر لما يلي: macOS Catalina 10.15.4

التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2020-9831:‏ Yu Wang من Didi Research America

تقويم

متوفر لما يلي: macOS Catalina 10.15.4

التأثير: قد يتسبب استيراد دعوة تقويم متطفلة إلى التصفية المسبقة لمعلومات المستخدم

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2020-3882:‏ Andy Grant من NCC Group

CoreBluetooth

متوفر لما يلي: macOS Mojave 10.14.6 وmacOS High Sierra 10.13.6

التأثير: قد يتمكن مخترق عن بُعد من تسريب معلومات حساسة خاصة بالمستخدم

الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.

CVE-2020-9828:‏ Jianjun Dai من Qihoo 360 Alpha Lab

CVMS

متوفر لما يلي: macOS Catalina 10.15.4

التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2020-9856:‏ ‎@jinmo123‎ و‎@setuid0x0_‎ و‎@insu_yun_en‎ من ‎@SSLab_Gatech‎ بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

DiskArbitration

متوفر لما يلي: macOS Mojave 10.14.6 وmacOS High Sierra 10.13.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكن تطبيق ضار من اختراق وضع حمايته

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2020-9847:‏ Zhuo Liang من فريق Qihoo 360 Vulcan Team بالاشتراك مع ‎360 BugCloud (bugcloud.360.cn)‎

تحديد الموقع

متوفر لما يلي: macOS Catalina 10.15.4

التأثير: قد يتمكن مخترق محلي من رفع امتيازاته

الوصف: وُجدت مشكلة تتعلق بالتحقق في معالجة الارتباطات الرمزية. تمت معالجة هذه المشكلة من خلال التحقق المُحسّن من روابط النظام.

CVE-2020-9855:‏ ‎Zhongcheng Li(CK01)‎ من Topsec Alpha Team

FontParser

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

التأثير: قد يؤدي فتح ملف PDF متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة الكتابة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2020-9816:‏ Peter Nguyen Vu Hoang من STAR Labs بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

ImageIO

متوفر لما يلي: macOS Catalina 10.15.4

التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.

CVE-2020-3878:‏ Samuel Groß من Google Project Zero

ImageIO

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة الكتابة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2020-9789:‏ Wenchao Li من VARAS@IIE

CVE-2020-9790:‏ Xingwei Lin من Ant-financial Light-Year Security Lab

برنامج تشغيل رسومات Intel

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة الكتابة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2020-9822:‏ ABC Research s.r.o

IPSec

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكن مهاجم عن بُعد من تسريب محتوى الذاكرة

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2020-9837:‏ Thijs Alkemade من Computest

Kernel

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال الإدارة المحسّنة للحالة.

CVE-2020-9821:‏ Xinru Chi وTielei Wang من Pangu Lab

Kernel

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكن تطبيق متطفل من تحديد تخطيط الذاكرة لتطبيق آخر

الوصف: تمت معالجة مشكلة الكشف عن معلومات من خلال إزالة التعليمة البرمجية المعرضة لهذا الخطر.

CVE-2020-9797: باحث غير معلوم الهوية

Kernel

متوفر لما يلي: macOS Catalina 10.15.4

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تتعلق بتجاوز عدد صحيح من خلال التحقق المحسّن من صحة الإدخال.

CVE-2020-9852:‏ Tao Huang وTielei Wang من Pangu Lab

Kernel

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تتعلق بالاستخدام بعد التحرير من خلال الإدارة المحسّنة للذاكرة.

CVE-2020-9795:‏ Zhuo Liang من فريق Qihoo 360 Vulcan Team

Kernel

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكن تطبيق من التسبب في إنهاء النظام بشكل غير متوقع أو الكتابة على ذاكرة kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال الإدارة المحسّنة للحالة.

CVE-2020-9808:‏ Xinru Chi وTielei Wang من Pangu Lab

Kernel

متوفر لما يلي: macOS Mojave 10.14.6 وmacOS High Sierra 10.13.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكّن المستخدم المحلي من قراءة ذاكرة kernel

الوصف: تمت معالجة مشكلة تتعلق بالكشف عن المعلومات عن طريق الإدارة المحسّنة للحالة.

CVE-2020-9811:‏ Tielei Wang من Pangu Lab

CVE-2020-9812:‏ ‎derrek (@derrekr6)‎

Kernel

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: توجد مشكلة منطقية تؤدي إلى تلف الذاكرة. تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للحالة.

CVE-2020-9813:‏ Xinru Chi من Pangu Lab

CVE-2020-9814:‏ Xinru Chi وTielei Wang من Pangu Lab

Kernel

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

الوصف: تمت معالجة مشكلة تتعلق بالكشف عن المعلومات عن طريق الإدارة المحسّنة للحالة.

CVE-2020-9809:‏ ‎Benjamin Randazzo (@____benjamin)‎

ksh

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكن مستخدم محلي من تنفيذ أوامر مكوّن shell عشوائية

الوصف: وجدت مشكلة أثناء معالجة متغيرات البيئة. تمت معالجة هذه المشكلة من خلال التحقق المحسّن.

CVE-2019-14868

NSURL

متوفر لما يلي: macOS Mojave 10.14.6

التأثير: قد يتمكّن موقع ويب متطفّل من التصفية المسبقة للبيانات المعبأة تلقائيًا في Safari

الوصف: وجدت مشكلة أثناء تحليل عناوين URL. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2020-9857:‏ Dlive من Tencent Security Xuanwu Lab

PackageKit

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكن أحد التطبيقات الضارة من التمتع بامتيازات الجذر

الوصف: وجدت مشكلة تتعلق بالأذونات. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإذن.

CVE-2020-9817:‏ Andy Grant من NCC Group

PackageKit

متوفر لما يلي: macOS Catalina 10.15.4

التأثير: قد يتمكن أحد التطبيقات الضارة من تعديل أجزاء محمية من نظام الملفات

الوصف: تمت معالجة مشكلة في الوصول من خلال قيود الوصول المحسّنة.

CVE-2020-9851:‏ ‎Linus Henze (pinauten.de)‎

Python

متوفر لما يلي: macOS Catalina 10.15.4

التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2020-9793

وضع الحماية

متوفر لما يلي: macOS Catalina 10.15.4

التأثير: قد يتمكن تطبيق متطفل من تجاوز تفضيلات "الخصوصية"

الوصف: تمت معالجة مشكلة في الوصول من خلال قيود وضع الحماية الإضافية.

CVE-2020-9825:‏ ‎Sreejith Krishnan R (@skr0x1C0)‎

وضع الحماية

متوفر لما يلي: macOS Mojave 10.14.6

التأثير: قد يتمكن مستخدم ما من الوصول إلى أجزاء محمية من نظام الملفات

الوصف: تمت معالجة هذه المشكلة عبر استحقاق جديد.

CVE-2020-9771:‏ ‎Csaba Fitzl (@theevilbit)‎ من Offensive Security

الأمان

متوفر لما يلي: macOS Catalina 10.15.4

التأثير: قد يتم عرض أحد الملفات بشكل غير صحيح لتنفيذ JavaScript

الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة من خلال الإبراء المحسّن للإدخال.

CVE-2020-9788:‏ Wojciech Reguła من ‎SecuRing (https://wojciechregula.blog)‎

SIP

متوفر لما يلي: macOS Catalina 10.15.4

التأثير: قد يتمكن مستخدم بدون امتيازات من تعديل إعدادات الشبكة المقيدة

الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.

CVE-2020-9824:‏ ‎@jamestraynor‎،‏ ‎Csaba Fitzl (@theevilbit)‎ من Offensive Security

تاريخ تحديث الإدخال: 10 يونيو 2020

SQLite

متوفر لما يلي: macOS Catalina 10.15.4

التأثير: قد يتسبب تطبيق متطفل في رفض الخدمة أو من المحتمل أن يكشف عن محتويات الذاكرة

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2020-9794

تفضيلات النظام

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية

الوصف: تمت معالجة حالة تعارض من خلال المعالجة المحسَّنة للحالة.

CVE-2020-9839:‏ ‎@jinmo123‎ و‎@setuid0x0_‎ و‎@insu_yun_en‎ من ‎@SSLab_Gatech‎ بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

صوت USB

متوفر لما يلي: macOS Catalina 10.15.4

التأثير: قد يتمكّن جهاز USB من التسبب في رفض للخدمة

الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة من خلال الإبراء المحسّن للإدخال.

CVE-2020-9792:‏ Andy Davis من NCC Group

Wi-Fi

متوفر لما يلي: macOS Catalina 10.15.4

التأثير: قد يتمكن مخترق عن بُعد من إحداث إنهاء غير متوقع للنظام أو إتلاف ذاكرة kernel

الوصف: تمت معالجة مشكلة مضاعفة من خلال الإدارة المحسّنة للذاكرة.

CVE-2020-9844:‏ Ian Beer من Google Project Zero

Wi-Fi

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال الإدارة المحسّنة للحالة.

CVE-2020-9830:‏ Tielei Wang من Pangu Lab

Wi-Fi

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2020-9834:‏ Yu Wang من Didi Research America

Wi-Fi

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكّن المستخدم المحلي من قراءة ذاكرة kernel

الوصف: تمت معالجة مشكلة تشغيل للذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2020-9833:‏ Yu Wang من Didi Research America

Wi-Fi

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.

CVE-2020-9832:‏ Yu Wang من Didi Research America

WindowServer

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تتعلق بتجاوز عدد صحيح من خلال التحقق المحسّن من صحة الإدخال.

CVE-2020-9841:‏ ‎ABC Research s.r.o.‎ بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

zsh

متوفر لما يلي: macOS High Sierra 10.13.6 وmacOS Mojave 10.14.6 وmacOS Catalina 10.15.4

التأثير: قد يتمكن مخترق محلي من رفع امتيازاته

الوصف: تمت معالجة مشكلة تتعلق بالمصادقة من خلال الإدارة المحسّنة للحالة.

CVE-2019-20044:‏ Sam Foxman

تقدير آخر

CoreBluetooth

يسعدنا أن نتوجّه بخالص الشكر إلى ‎Maximilian von Tschirschnitz (@maxinfosec1)‎ من Technical University Munich وLudwig Peuckert من Technical University Munich على تقديم المساعدة لنا.

CoreText

يسعدنا أن نتوجّه بخالص الشكر إلى ‎Jiska Classen (@naehrdine)‎ و‎Dennis Heinze (@ttdennis)‎ من Secure Mobile Networking Lab على تقديم المساعدة لنا.

أمن نقطة النهاية

يسعدنا أن نتوجّه بخالص الشكر إلى باحث غير معلوم الهوية نظير مساعدته لنا.

ImageIO

يسعدنا أن نتوجّه بخالص الشكر إلى Lei Sun على تقديم المساعدة لنا.

IOHIDFamily

يسعدنا أن نتوجّه بخالص الشكر إلى Andy Davis من NCC Group على تقديم المساعدة لنا.

IPSec

يسعدنا أن نتوجّه بخالص الشكر إلى Thijs Alkemade من Computest على تقديم المساعدة لنا.

نافذة تسجيل الدخول

يسعدنا أن نتوجّه بخالص الشكر إلى Jon Morby وباحث غير معلوم الهوية على تقديم المساعدة لنا.

وضع الحماية

يسعدنا أن نتوجّه بخالص الشكر إلى Jason L Lang من Optum على تقديم المساعدة لنا.

Spotlight

يسعدنا أن نتوجّه بخالص الشكر إلى ‎Csaba Fitzl (@theevilbit)‎ من Offensive Security على تقديم المساعدة لنا.

يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.

تاريخ النشر: