Informace o bezpečnostním obsahu macOS Big Sur 11.0.1

Tento dokument popisuje bezpečnostní obsah macOS Big Sur 11.0.1.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

macOS Big Sur 11.0.1

Vydáno 12. listopadu 2020

AMD

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Škodlivá aplikace může spouštět libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2020-27914: Yu Wang ze společnosti Didi Research America

CVE-2020-27915: Yu Wang ze společnosti Didi Research America

Záznam přidán 14. prosince 2020

App Store

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Aplikaci se může podařit navýšit si oprávnění.

Popis: Problém byl vyřešen odebráním zranitelného kódu.

CVE-2020-27903: Zhipeng Huo (@R3dF09) z týmu Tencent Security Xuanwu Lab

Audio

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého zvukového souboru může vést ke spuštění libovolného kódu.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2020-27910: JunDong Xie a XingWei Lin z týmu Ant Security Light-Year Lab

Audio

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého zvukového souboru může vést ke spuštění libovolného kódu.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2020-27916: JunDong Xie z týmu Ant Security Light-Year Lab

Audio

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Škodlivé aplikaci se může podařit číst vyhrazenou paměť.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2020-9943: JunDong Xie z týmu Ant Group Light-Year Security Lab

Audio

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Aplikaci se může podařit číst vyhrazenou paměť.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2020-9944: JunDong Xie z týmu Ant Group Light-Year Security Lab

Bluetooth

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Vzdálenému útočníkovi se může podařit způsobit nečekané ukončení aplikace nebo poškození haldy.

Popis: Několik problémů s přetečením celých čísel bylo vyřešeno lepším ověřováním vstupů.

CVE-2020-27906: Zuozhi Fan (@pattern_F_) z týmu Ant Group Tianqiong Security Lab

CFNetwork Cache

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Chyba s přetečením celého čísla byla vyřešena vylepšením ověřování vstupů.

CVE-2020-27945: Zhuo Liang z týmu Qihoo 360 Vulcan

Záznam přidán 16. března 2021

CoreAudio

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého zvukového souboru může vést ke spuštění libovolného kódu.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2020-27908: JunDong Xie a Xingwei Lin z týmu Ant Security Light-Year Lab

CVE-2020-27909: Anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti Trend Micro, JunDong Xie a Xingwei Lin z týmu Ant Security Light-Year Lab

CVE-2020-9960: JunDong Xie a Xingwei Lin z týmu Ant Security Light-Year Lab

Záznam přidán 14. prosince 2020

CoreAudio

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého zvukového souboru může vést ke spuštění libovolného kódu.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2020-10017: Francis ve spolupráci se Zero Day Initiative společnosti Trend Micro, JunDong Xie z týmu Ant Security Light-Year Lab

CoreCapture

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2020-9949: Proteas

CoreGraphics

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého PDF dokumentu může vést ke spuštění libovolného kódu.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2020-9897: S.Y. ze společnosti ZecOps Mobile XDR, anonymní výzkumník

Záznam přidán 25. října 2021

CoreGraphics

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2020-9883: anonymní výzkumník, Mickey Jin z Trend Micro

Crash Reporter

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Místnímu útočníkovi se může podařit navýšit si oprávnění.

Popis: U symbolických odkazů existoval problém v logice ověřování cest. Problém byl vyřešen vylepšením sanitizace cest.

CVE-2020-10003: Tim Michaud (@TimGMichaud) ze společnosti Leviathan

CoreText

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého souboru písma může vést ke spuštění libovolného kódu.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2020-27922: Mickey Jin ze společnosti Trend Micro

Záznam přidán 14. prosince 2020

CoreText

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého textového souboru může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.

CVE-2020-9999: Apple

Záznam aktualizován 14. prosince 2020

Directory Utility

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Škodlivé aplikaci se může podařit získat přístup k soukromým informacím.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2020-27937: Wojciech Reguła (@_r3ggi) ze společnosti SecuRing

Záznam přidán 16. března 2021

Disk Images

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Finder

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Uživatelům nemusí jít odstraňovat metadata s informacemi o tom, odkud bylo provedeno stažení souborů.

Popis: Problém byl vyřešen dalšími uživatelskými ovládacími prvky.

CVE-2020-27894: Manuel Trezza ze společnosti Shuggr (shuggr.com)

FontParser

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého textového souboru může vést ke spuštění libovolného kódu.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2021-1790: Peter Nguyen Vu Hoang ze společnosti STAR Labs

Záznam přidán 25. května 2022

FontParser

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého písma může vést ke spuštění libovolného kódu

Popis: Problém byl vyřešen odebráním zranitelného kódu.

CVE-2021-1775: Mickey Jin a Qi Sun ze společnosti Trend Micro ve spolupráci se Zero Day Initiative společnosti Trend Micro

Záznam přidán 25. října 2021

FontParser

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Škodlivé aplikaci se může podařit číst vyhrazenou paměť.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2020-29629: anonymní výzkumník

Záznam přidán 25. října 2021

FontParser

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého souboru písma může vést ke spuštění libovolného kódu.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2020-27942: anonymní výzkumník

Záznam přidán 25. října 2021

FontParser

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování velikosti.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Záznam přidán 14. prosince 2020

FontParser

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého souboru písma může vést ke spuštění libovolného kódu.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2020-27952: anonymní výzkumník, Mickey Jin a Junzhi Luz ze společnosti Trend Micro

Záznam přidán 14. prosince 2020

FontParser

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého souboru písma může vést ke spuštění libovolného kódu.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2020-9956: Mickey Jin a Junzhi Lu z týmu Mobile Security Research společnosti Trend Micro ve spolupráci se Zero Day Initiative společnosti Trend Micro

Záznam přidán 14. prosince 2020

FontParser

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého souboru písma může vést ke spuštění libovolného kódu.

Popis: Ve zpracovávání souborů písem existoval problém s poškozením paměti. Problém byl vyřešen vylepšením ověřování vstupů.

CVE-2020-27931: Apple

Záznam přidán 14. prosince 2020

FontParser

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého písma může vést ke spuštění libovolného kódu. Apple si je vědom hlášení o tom, že tento problém se dá zneužít.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2020-27930: Google Project Zero

FontParser

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého souboru písma může vést ke spuštění libovolného kódu.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2020-27927: Xingwei Lin z týmu Ant Security Light-Year Lab

FontParser

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2020-29639: Mickey Jin a Qi Sun ze společnosti Trend Micro ve spolupráci se Zero Day Initiative společnosti Trend Micro

Záznam přidán 21. července 2021

Foundation

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Místnímu uživateli se může podařit číst libovolné soubory.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2020-10002: James Hutchins

HomeKit

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit neočekávaně změnit stav aplikace.

Popis: Problém byl vyřešen důslednějším uplatňováním nastavení.

CVE-2020-9978: Luyi Xing, Dongfang Zhao a Xiaofeng Wang z Indianské univerzity v Bloomingtonu, Yan Jia ze Si-anské univerzity a Univerzity Čínské akademie věd a Bin Yuan z Vědecko-technologické univerzity HuaZhong

Záznam přidán 14. prosince 2020

ImageIO

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2020-9955: Mickey Jin ze společnosti Trend Micro, Xingwei Lin z týmu Ant Security Light-Year Lab

Záznam přidán 14. prosince 2020

ImageIO

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2020-27924: Lei Sun

Záznam přidán 14. prosince 2020

ImageIO

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2020-27912: Xingwei Lin z týmu Ant Security Light-Year Lab

CVE-2020-27923: Lei Sun

Záznam aktualizován 14. prosince 2020

ImageIO

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Otevření škodlivého PDF souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2020-9876: Mickey Jin z Trend Micro

Intel Graphics Driver

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2020-10015: ABC Research s.r.o. ve spolupráci se Zero Day Initiative společnosti Trend Micro

CVE-2020-27897: Xiaolong Bai a Min (Spark) Zheng ze společnosti Alibaba Inc. a Luyi Xing z Indianské univerzity v Bloomingtonu

Záznam přidán 14. prosince 2020

Intel Graphics Driver

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2020-27907: ABC Research s.r.o. ve spolupráci se Zero Day Initiative společnosti Trend Micro, Liu Long z týmu Ant Security Light-Year Lab

Záznam přidán 14. prosince 2020, aktualizován 16. března 2021

Image Processing

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2020-27919: Hou JingYi (@hjy79425575) ze společnosti Qihoo 360 CERT, Xingwei Lin z týmu Ant Security Light-Year Lab

Záznam přidán 14. prosince 2020

Kernel

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Vzdálenému útočníkovi se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Záznam přidán 14. prosince 2020

Kernel

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2020-9975: Tielei Wang z týmu Pangu Lab

Záznam přidán 14. prosince 2020

Kernel

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém se souběhem byl vyřešen vylepšením zpracování stavů.

CVE-2020-27921: Linus Henze (pinauten.de)

Záznam přidán 14. prosince 2020

Kernel

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém v logice způsoboval poškození paměti. Problém byl vyřešen vylepšením správy stavu.

CVE-2020-27904: Zuozhi Fan (@pattern_F_) z týmu Ant Group Tianqong Security Lab

Kernel

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit injektovat data do aktivních spojení přes VPN tunel.

Popis: Problém se směrováním byl vyřešen vylepšením omezení.

CVE-2019-14899: William J. Tolley, Beau Kujath a Jedidiah R. Crandall

Kernel

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Škodlivé aplikaci se může podařit odhalit obsah paměti jádra. Apple si je vědom hlášení o tom, že tento problém se dá zneužít.

Popis: Byl vyřešen problém s inicializací paměti.

CVE-2020-27950: Google Project Zero

Kernel

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Škodlivé aplikaci se může podařit rozpoznat rozvržení jádra.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.

CVE-2020-10016: Alex Helie

Kernel

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru. Apple si je vědom hlášení o tom, že tento problém se dá zneužít.

Popis: Problém se záměnou typů byl vyřešen vylepšením správy stavu.

CVE-2020-27932: Google Project Zero

libxml2

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění kódu

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2020-27917: nalezeno programem OSS-Fuzz

CVE-2020-27920: nalezeno programem OSS-Fuzz

Záznam aktualizován 14. prosince 2020

libxml2

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Vzdálenému útočníkovi se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.

Popis: Přetečení celých čísel bylo vyřešeno vylepšením ověřování vstupů.

CVE-2020-27911: nalezeno programem OSS-Fuzz

libxpc

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Škodlivá aplikace si může navýšit oprávnění.

Popis: Problém v logice byl vyřešen vylepšením ověřování.

CVE-2020-9971: Zhipeng Huo (@R3dF09) z týmu Tencent Security Xuanwu Lab

Záznam přidán 14. prosince 2020

libxpc

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Škodlivé aplikaci se může podařit dostat se ze sandboxu.

Popis: Problém s parsováním ve zpracování cest adresářů byl vyřešen lepším ověřováním cest.

CVE-2020-10014: Zhipeng Huo (@R3dF09) z týmu Tencent Security Xuanwu Lab

Logging

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Místnímu útočníkovi se může podařit navýšit si oprávnění.

Popis: Problém se zpracováváním cest byl vyřešen vylepšením ověřování.

CVE-2020-10010: Tommy Muir (@Muirey03)

Mail

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Vzdálenému útočníkovi se může podařit nečekaně změnit stav aplikace.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2020-9941: Fabian Ising z Münsterské univerzity aplikovaných věd a Damian Poddebniak z Münsterské univerzity aplikovaných věd

Messages

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Místnímu uživateli se může podařit odhalit uživatelovy smazané zprávy.

Popis: Problém byl vyřešen vylepšením mazání.

CVE-2020-9988: William Breuer z Nizozemska

CVE-2020-9989: von Brunn Media

Model I/O

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého USD souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2020-10011: Aleksandar Nikolic z týmu Cisco Talos

Záznam přidán 14. prosince 2020

Model I/O

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého USD souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2020-13524: Aleksandar Nikolic z týmu Cisco Talos

Model I/O

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Otevření škodlivého souboru může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2020-10004: Aleksandar Nikolic z týmu Cisco Talos

NetworkExtension

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Škodlivá aplikace si může navýšit oprávnění.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2020-9996: Zhiwei Yuan z týmu Trend Micro iCore, Junzhi Lu a Mickey Jin ze společnosti Trend Micro

NSRemoteView

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Procesu běžícímu v sandboxu se může podařit obejít omezení sandboxu.

Popis: Problém v logice byl vyřešen vylepšením omezení.

CVE-2020-27901: Thijs Alkemade z divize výzkumu ve společnosti Computest

Záznam přidán 14. prosince 2020

NSRemoteView

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Škodlivé aplikaci se může podařit zobrazit náhled souborů, ke kterým nemá přístup.

Popis: Existoval problém ve zpracování snímků. Problém byl vyřešen vylepšením logiky oprávnění.

CVE-2020-27900: Thijs Alkemade z divize výzkumu ve společnosti Computest

PCRE

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Několik problémů v knihovně PCRE.

Popis: Několik problémů bylo vyřešeno aktualizováním na verzi 8.44.

CVE-2019-20838

CVE-2020-14155

Power Management

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Škodlivé aplikaci se může podařit rozpoznat rozvržení jádra.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2020-10007: singi@theori ve spolupráci se Zero Day Initiative společnosti Trend Micro

python

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Cookies patřící k jednomu původu můžou být poslány jinému původu.

Popis: Několik problémů bylo vyřešeno vylepšením logiky.

CVE-2020-27896: anonymní výzkumník

Quick Look

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Škodlivé aplikaci se může podařit určit existenci souborů v počítači.

Popis: Problém byl vyřešen vylepšením zpracovávání mezipamětí ikon.

CVE-2020-9963: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security

Quick Look

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého dokumentu může vést k útoku skriptováním mezi weby.

Popis: Problém s přístupem byl vyřešen vylepšením přístupových omezení.

CVE-2020-10012: Heige z týmu KnownSec 404 (knownsec.com) a Bo Qu ze společnosti Palo Alto Networks (paloaltonetworks.com)

Záznam aktualizován 16. března 2021

Ruby

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Vzdálenému útočníkovi se může podařit upravit souborový systém.

Popis: Problém se zpracováváním cest byl vyřešen vylepšením ověřování.

CVE-2020-27896: anonymní výzkumník

Ruby

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Při parsování určitých dokumentů JSON může být gem „json“ donucen k vytvoření libovolných objektů v cílovém systému.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2020-10663: Jeremy Evans

Safari

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Návštěva škodlivého webu může vést ke zfalšování řádku s adresou.

Popis: Při zpracovávání adres URL mohlo dojít k falšování. Problém byl vyřešen vylepšením ověřování vstupů.

CVE-2020-9945: Narendra Bhati ze společnosti Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati

Safari

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Škodlivé aplikaci se může podařit určit otevřené panely uživatele v Safari.

Popis: V kontrole oprávněnosti existoval problém s ověřováním. Problém byl vyřešen vylepšením ověřování oprávněnosti procesu.

CVE-2020-9977: Josh Parnham (@joshparnham)

Safari

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Návštěva škodlivého webu může vést ke zfalšování řádku s adresou.

Popis: Problém s nekonzistentním uživatelským rozhraním byl vyřešen vylepšením správy stavu.

CVE-2020-9942: anonymní výzkumník, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora) z The City School, PAF Chapter, Ruilin Yang z týmu Tencent Security Xuanwu Lab, YoKo Kho (@YoKoAcc) ze společnosti PT Telekomunikasi Indonesia (Persero) Tbk, Zhiyang Zeng(@Wester) z týmu OPPO ZIWU Security Lab

Safari

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Problém s nekonzistentním uživatelským rozhraním byl vyřešen vylepšením správy stavu

Popis: Návštěva škodlivého webu může vést ke zfalšování řádku s adresou.

CVE-2020-9987: Rafay Baloch (cybercitadel.com) ze společnosti Cyber Citadel

Záznam přidán 21. července 2021

Sandbox

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Místní aplikaci se může podařit zjistit počet uživatelových dokumentů na iCloudu.

Popis: Problém byl vyřešen vylepšením logiky oprávnění.

CVE-2021-1803: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security

Záznam přidán 16. března 2021

Sandbox

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Místnímu uživateli se může podařit zobrazit citlivé uživatelské údaje.

Popis: Problém s přístupem byl vyřešen přidáním dalších omezení sandboxu.

CVE-2020-9969: Wojciech Reguła z týmu SecuRing (wojciechregula.blog)

Screen Sharing

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Uživateli s přístupem ke sdílení obrazovky se může podařit zobrazit si obrazovku jiného uživatele.

Popis: Existoval problém ve sdílení obrazovky. Problém byl vyřešen vylepšením správy stavu.

CVE-2020-27893: pcsgomes

Záznam přidán 16. března 2021

Siri

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Osobě s fyzickým přístupem k iOS zařízení se může podařit dostat se ze zamčené obrazovky ke kontaktům.

Popis: Problém se zamčenou obrazovkou umožňoval přístup ke kontaktům na zamčeném zařízení. Problém byl vyřešen vylepšením správy stavu.

CVE-2021-1755: Yuval Ron, Amichai Shulman a Eli Biham z univerzity Technion – Izraelský technologický institut

Záznam přidán 16. března 2021

smbx

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit provést odmítnutí služby.

Popis: Problém s vyčerpáním zdrojů byl vyřešen vylepšením ověřování vstupů.

CVE-2020-10005: Apple

Záznam přidán 25. října 2021

SQLite

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2020-9991

SQLite

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Vzdálenému útočníkovi se může podařit způsobit únik paměti.

Popis: Problém s odhalováním informací byl vyřešen vylepšením správy stavu.

CVE-2020-9849

SQLite

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Několik problémů v SQLite.

Popis: Několik problémů bylo vyřešeno vylepšením kontrol.

CVE-2020-15358

SQLite

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Škodlivý dotaz SQL může vést k poškození dat.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2020-13631

SQLite

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

SQLite

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Vzdálenému útočníkovi se může podařit spustit libovolný kód.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.

CVE-2020-13630

Framework Symptom

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Místnímu útočníkovi se může podařit navýšit si oprávnění.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2020-27899: 08Tc3wBB ve spolupráci se ZecOps

Záznam přidán 14. prosince 2020

System Preferences

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Procesu běžícímu v sandboxu se může podařit obejít omezení sandboxu.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2020-10009: Thijs Alkemade z divize výzkumu ve společnosti Computest

TCC

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Škodlivé aplikaci s kořenovými oprávněními se může podařit získat přístup k soukromým informacím.

Popis: Problém v logice byl vyřešen vylepšením omezení.

CVE-2020-10008: Wojciech Reguła z týmu SecuRing (wojciechregula.blog)

Záznam přidán 14. prosince 2020

WebKit

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2020-27918: Liu Long z týmu Ant Security Light-Year Lab

Záznam aktualizován 14. prosince 2020

WebKit

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

Popis: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

CVE-2020-9947: cc ve spolupráci se Zero Day Initiative společnosti Trend Micro

CVE-2020-9950: cc ve spolupráci se Zero Day Initiative společnosti Trend Micro

Záznam přidán 21. července 2021

Wi-Fi

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Útočníkovi se může podařit obejít funkci Managed Frame Protection.

Popis: Problém s odmítnutím služby byl vyřešen vylepšením správy stavu.

CVE-2020-27898: Stephan Marais z Johannesburgské univerzity

XNU

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Procesu běžícímu v sandboxu se může podařit obejít omezení sandboxu.

Popis: Několik problémů bylo vyřešeno vylepšením logiky.

CVE-2020-27935: Lior Halphon (@LIJI32)

Záznam přidán 17. prosince 2020

Xsan

K dispozici pro: Mac Pro (2013 a novější), MacBook Air (2013 a novější), MacBook Pro (konec roku 2013 a novější), Mac mini (2014 a novější), iMac (2014 a novější), MacBook (2015 a novější), iMac Pro (všechny modely)

Dopad: Škodlivé aplikaci se může podařit získat přístup k omezeným souborům.

Popis: Problém byl vyřešen vylepšením oprávnění.

CVE-2020-10006: Wojciech Reguła (@_r3ggi) ze společnosti SecuRing

Další poděkování

802.1X

Poděkování za pomoc zaslouží Kenana Dalle z Univerzity Hamada bin Chalífy a Ryan Riley z Univerzity Carnegieho–Mellonových v Kataru.

Záznam přidán 14. prosince 2020

Audio

Poděkování za pomoc zaslouží JunDong Xie a Xingwei Lin z týmu Ant-Financial Light-Year Security Lab a Marc Schoenefeld Dr. rer. nat.

Záznam aktualizován 16. března 2021

Bluetooth

Poděkování za pomoc zaslouží Andy Davis z NCC Group a Dennis Heinze (@ttdennis) z týmu Secure Mobile Networking Lab na Technické univerzitě v Darmstadtu.

Záznam aktualizován 14. prosince 2020

Clang

Poděkování za pomoc zaslouží Brandon Azad z týmu Google Project Zero.

Core Location

Poděkování za pomoc zaslouží Yiğit Can YILMAZ (@yilmazcanyigit).

Crash Reporter

Poděkování za pomoc zaslouží Artur Byszko ze společnosti AFINE.

Záznam přidán 14. prosince 2020

Directory Utility

Poděkování za pomoc zaslouží Wojciech Reguła (@_r3ggi) ze společnosti SecuRing.

iAP

Poděkování za pomoc zaslouží Andy Davis z NCC Group.

Kernel

Poděkování za pomoc zaslouží Brandon Azad z týmu Google Project Zero a Stephen Röttger ze společnosti Google.

libxml2

Poděkování za pomoc zaslouží anonymní výzkumník.

Záznam přidán 14. prosince 2020

Login Window

Poděkování za pomoc zaslouží Rob Morton ze společnosti Leidos.

Záznam přidán 16. března 2021

Login Window

Poděkování za pomoc zaslouží Rob Morton ze společnosti Leidos.

Photos Storage

Poděkování za pomoc zaslouží Paulos Yibelo ze společnosti LimeHats.

Quick Look

Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit) a Wojciech Reguła ze společnosti SecuRing (wojciechregula.blog).

Safari

Poděkování za pomoc zaslouží Gabriel Corona a Narendra Bhati ze společnosti Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati.

Security

Poděkování za pomoc zaslouží Christian Starkjohann ze společnosti Objective Development Software GmbH.

System Preferences

Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit) z týmu Offensive Security.

Záznam přidán 16. března 2021

System Preferences

Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit) z týmu Offensive Security.

WebKit

Maximilian Blochberger z týmu Security in Distributed Systems Group na Hamburské univerzitě

Záznam přidán 25. května 2022

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: