Om sikkerhedsindholdet i macOS Big Sur 11.0.1

I dette dokument beskrives sikkerhedsindholdet i macOS Big Sur 11.0.1.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Big Sur 11.0.1

Udgivet 12. november 2020

AMD

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2020-27914: Yu Wang fra Didi Research America

CVE-2020-27915: Yu Wang fra Didi Research America

Post tilføjet 14. december 2020

App Store

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2020-27903: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab

Audio

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-27910: JunDong Xie og XingWei Lin fra Ant Security Light-Year Lab

Audio

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2020-27916: JunDong Xie fra Ant Security Light-Year Lab

Audio

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2020-9943: JunDong Xie fra Ant Group Light-Year Security Lab

Audio

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2020-9944: JunDong Xie fra Ant Group Light-Year Security Lab

Bluetooth

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller beskadigelse af heap

Beskrivelse: Et problem med flere heltalsoverløb blev rettet gennem forbedret inputvalidering.

CVE-2020-27906: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqiong Security Lab

CFNetwork Cache

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2020-27945: Zhuo Liang fra Qihoo 360 Vulcan Team

Post tilføjet 16. marts 2021

CoreAudio

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-27908: JunDong Xie og Xingwei Lin fra Ant Security Light-Year Lab

CVE-2020-27909: Anonym programmør, der arbejder med Trend Micro Zero Day Initiative, JunDong Xie og Xingwei Lin fra Ant Security Light-Year Lab

CVE-2020-9960: JunDong Xie og Xingwei Lin fra Ant Security Light-Year Lab

Post tilføjet 14. december 2020

CoreAudio

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2020-10017: Francis, der arbejder med Trend Micros Zero Day Initiative, JunDong Xie fra Ant Security Light-Year Lab

CoreCapture

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2020-9949: Proteas

CoreGraphics

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt PDF-dokument kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2020-9897: S.Y. fra ZecOps Mobile XDR, en anonym programmør

Post tilføjet 25. oktober 2021

CoreGraphics

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2020-9883: En anonym programmør, Mickey Jin fra Trend Micro

Crash Reporter

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Der var et problem med stigodkendelseslogikken for symbolske links. Problemet blev løst med forbedret stirensning.

CVE-2020-10003: Tim Michaud (@TimGMichaud) fra Leviathan

CoreText

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2020-27922: Mickey Jin fra Trend Micro

Post tilføjet 14. december 2020

CoreText

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2020-9999: Apple

Post opdateret 14. december 2020

Directory Utility

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis få adgang til private oplysninger

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2020-27937: Wojciech Reguła (@_r3ggi) fra SecuRing

Post tilføjet 16. marts 2021

Disk Images

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Finder

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Brugere kan muligvis ikke fjerne metadata, der indikerer, hvorfra arkiver blev downloadet

Beskrivelse: Problemet blev løst ved yderligere brugerkontroller.

CVE-2020-27894: Manuel Trezza fra Shuggr (shuggr.com)

FontParser

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-1790: Peter Nguyen Vu Hoang fra STAR Labs

Post tilføjet 25. maj 2022

FontParser

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af en skadelig skrift kan medføre kørsel af vilkårlig kode

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2021-1775: Mickey Jin og Qi Sun fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 25. oktober 2021

FontParser

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis læse beskyttet hukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-29629: en anonym programmør

Post tilføjet 25. oktober 2021

FontParser

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2020-27942: En anonym programmør

Post tilføjet 25. oktober 2021

FontParser

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et bufferoverløbsproblem er løst med forbedret godkendelse af størrelse.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Post tilføjet 14. december 2020

FontParser

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2020-27952: en anonym programmør, Mickey Jin og Junzhi Lu fra Trend Micro

Post tilføjet 14. december 2020

FontParser

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-9956: Mickey Jin og Junzhi Lu fra Trend Micros Mobile Security Research Team, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 14. december 2020

FontParser

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret inputvalidering.

CVE-2020-27931: Apple

Post tilføjet 14. december 2020

FontParser

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af en skadelig skrift kan medføre kørsel af vilkårlig kode. Apple er opmærksom på rapporter om, at dette problem kan udnyttes offentligt.

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2020-27930: Google Project Zero

FontParser

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2020-27927: Xingwei Lin fra Ant Security Light-Year Lab

FontParser

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2020-29639: Mickey Jin og Qi Sun fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 21. juli 2021

Foundation

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En lokal bruger kan muligvis læse vilkårlige arkiver

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2020-10002: James Hutchins

HomeKit

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En hacker i en privilegeret netværksposition kan muligvis uventet ændre programstatus

Beskrivelse: Problemet er løst ved forbedret overførsel af indstillinger.

CVE-2020-9978: Luyi Xing, Dongfang Zhao og Xiaofeng Wang fra Indiana University Bloomington, Yan Jia fra Xidian University og University of Chinese Academy of Sciences og Bin Yuan fra HuaZhong University of Science and Technology

Post tilføjet 14. december 2020

ImageIO

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2020-9955: Mickey Jin fra Trend Micro, Xingwei Lin fra Ant Security Light-Year Lab

Post tilføjet 14. december 2020

ImageIO

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-27924: Lei Sun

Post tilføjet 14. december 2020

ImageIO

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2020-27912: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2020-27923: Lei Sun

Post opdateret 14. december 2020

ImageIO

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2020-9876: Mickey Jin fra Trend Micro

Intel Graphics Driver

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2020-10015: ABC Research s.r.o., der arbejder med Trend Micros Zero Day Initiative

CVE-2020-27897: Xiaolong Bai og Min (Spark) Zheng fra Alibaba Inc. og Luyi Xing fra Indiana University Bloomington

Post tilføjet 14. december 2020

Intel Graphics Driver

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2020-27907: ABC Research s.r.o., som arbejder sammen med Trend Micro Zero Day Initiative, Liu Long fra Ant Security Light-Year Lab

Post tilføjet 14. december 2020, opdateret 16. marts 2021

Image Processing

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2020-27919: Hou JingYi (@hjy79425575) fra Qihoo 360 CERT, Xingwei Lin fra Ant Security Light-Year Lab

Post tilføjet 14. december 2020

Kernel

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En hacker kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Post tilføjet 14. december 2020

Kernel

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2020-9975: Tielei Wang fra Pangu Lab

Post tilføjet 14. december 2020

Kernel

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.

CVE-2020-27921: Linus Henze (pinauten.de)

Post tilføjet 14. december 2020

Kernel

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et logikproblem, som resulterede i beskadiget hukommelse. Det er løst ved hjælp af forbedret statusadministration.

CVE-2020-27904: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqong Security Lab

Kernel

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En hacker i en privilegeret netværksposition kan muligvis indsætte i aktive forbindelser i en VPN-tunnel

Beskrivelse: Et routingproblem er løst via forbedrede begrænsninger.

CVE-2019-14899: William J. Tolley, Beau Kujath og Jedidiah R. Crandall

Kernel

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis afsløre kernehukommelse. Apple er opmærksom på rapporter om, at dette problem kan udnyttes offentligt.

Beskrivelse: Et problem med hukommelsesinitialisering er blevet løst.

CVE-2020-27950: Google Project Zero

Kernel

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2020-10016: Alex Helie

Kernel

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder. Apple er opmærksom på rapporter om, at dette problem kan udnyttes offentligt.

Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.

CVE-2020-27932: Google Project Zero

libxml2

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2020-27917: Fundet af OSS-Fuzz

CVE-2020-27920: Fundet af OSS-Fuzz

Post opdateret 14. december 2020

libxml2

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2020-27911: Fundet af OSS-Fuzz

libxpc

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2020-9971: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab

Post tilføjet 14. december 2020

libxpc

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et parsingproblem i forbindelse med behandlingen af biblioteksstier blev løst via forbedret stigodkendelse.

CVE-2020-10014: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab

Logning

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2020-10010: Tommy Muir (@Muirey03)

Mail

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En hacker kan muligvis uventet ændre programstatus

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-9941: Fabian Ising fra FH Münster University of Applied Sciences og Damian Poddebniak fra FH Münster University of Applied Sciences

Messages

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En lokal bruger kan muligvis finde en brugers slettede beskeder

Beskrivelse: Problemet blev løst ved forbedret sletning.

CVE-2020-9988: William Breuer fra Holland

CVE-2020-9989: von Brunn Media

Model I/O

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2020-10011: Aleksandar Nikolic fra Cisco Talos

Post tilføjet 14. december 2020

Model I/O

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-13524: Aleksandar Nikolic fra Cisco Talos

Model I/O

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Åbning af et skadeligt arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2020-10004: Aleksandar Nikolic fra Cisco Talos

NetworkExtension

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2020-9996: Zhiwei Yuan fra Trend Micros iCore Team, Junzhi Lu og Mickey Jin fra Trend Micro

NSRemoteView

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2020-27901: Thijs Alkemade fra Computest Research Division

Post tilføjet 14. december 2020

NSRemoteView

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis få vist arkiver, det ikke har adgang til

Beskrivelse: Der opstod et problem ved håndteringen af snapshots. Problemet er løst med forbedret tilladelseslogik.

CVE-2020-27900: Thijs Alkemade fra Computest Research Division

PCRE

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Flere problemer i pcre

Beskrivelse: Flere problemer blev løst ved opdatering til version 8.44.

CVE-2019-20838

CVE-2020-14155

Power Management

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2020-10007: singi@theori, der arbejder med Trend Micros Zero Day Initiative

python

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Cookies tilhørende et domæne kan blive videresendt til et andet domæne

Beskrivelse: Flere problemer er løst via forbedret logik.

CVE-2020-27896: En anonym programmør

Quick Look

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En skadelig app kan muligvis tjekke, om der findes arkiver på computeren

Beskrivelse: Problemet er løst ved forbedret håndtering af symbolbuffere.

CVE-2020-9963: Csaba Fitzl (@theevilbit) fra Offensive Security

Quick Look

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt dokument kan føre til scriptingangreb på tværs af websteder

Beskrivelse: Et adgangsproblem er løst med forbedrede adgangsbegrænsninger.

CVE-2020-10012: Heige fra KnownSec 404 Team (knownsec.com) og Bo Qu fra Palo Alto Networks (paloaltonetworks.com)

Post opdateret 16. marts 2021

Ruby

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et fjernangreb kan muligvis ændre arkivsystemet

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2020-27896: En anonym programmør

Ruby

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Ved parsing af visse JSON-dokumenter kan json blive tvunget til at oprette tilfældige objekter i destinationssystemet

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-10663: Jeremy Evans

Safari

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Der var et problem med efterligning i håndteringen af URL-adresser. Problemet er løst ved forbedret inputvalidering.

CVE-2020-9945: Narendra Bhati fra Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati

Safari

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis se brugerens åbne faner i Safari

Beskrivelse: Der var et godkendelsesproblem med bekræftelsen af rettigheder. Problemet er løst ved forbedret godkendelse af procesrettigheder.

CVE-2020-9977: Josh Parnham (@joshparnham)

Safari

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2020-9942: En anonym programmør, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora) fra The City School, PAF Chapter, Ruilin Yang fra Tencent Security Xuanwu Lab, YoKo Kho (@YoKoAcc) fra PT Telekomunikasi Indonesia (Persero) Tbk, Zhiyang Zeng(@Wester) fra OPPO ZIWU Security Lab

Safari

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration

Beskrivelse: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen.

CVE-2020-9987: Rafay Baloch (cybercitadel.com) fra Cyber Citadel

Post tilføjet 21. juli 2021

Sandbox

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et lokalt program kan muligvis sammenregne brugerens iCloud-dokumenter

Beskrivelse: Problemet er løst med forbedret tilladelseslogik.

CVE-2021-1803: Csaba Fitzl (@theevilbit) fra Offensive Security

Post tilføjet 16. marts 2021

Sandbox

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En lokal bruger kan muligvis få adgang til følsomme brugeroplysninger

Beskrivelse: Et adgangsproblem er løst med yderligere sandbox-begrænsninger.

CVE-2020-9969: Wojciech Reguła fra SecuRing (wojciechregula.blog)

Screen Sharing

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En bruger med skærmdelingsadgang kan muligvis se en anden brugers skærm

Beskrivelse: Der opstod et problem ved deling af skærmen. Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2020-27893: pcsgomes

Post tilføjet 16. marts 2021

Siri

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En person med fysisk adgang til en iOS-enhed kan muligvis få adgang til kontakter fra låst skærm

Beskrivelse: Et problem med låst skærm gjorde det muligt at få adgang til kontakter på en låst enhed. Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2021-1755: Yuval Ron, Amichai Shulman og Eli Biham fra Technion – Israel Institute of Technology

Post tilføjet 16. marts 2021

smbx

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En hacker med en privilegeret netværksposition kan udføre et DoS-angreb

Beskrivelse: Et problem med opbrugte ressourcer er løst via forbedret inputvalidering.

CVE-2020-10005: Apple

Post tilføjet 25. oktober 2021

SQLite

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-9991

SQLite

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En ekstern hacker kan lække hukommelse

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret statusadministration.

CVE-2020-9849

SQLite

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Flere problemer i SQLite

Beskrivelse: Flere problemer er løst med forbedret kontrol.

CVE-2020-15358

SQLite

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En skadelig SQL-forespørgsel kan føre til beskadigelse af data

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-13631

SQLite

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

SQLite

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2020-13630

Symptom Framework

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2020-27899: 08Tc3wBB, der arbejder med ZecOps

Post tilføjet 14. december 2020

System Preferences

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2020-10009: Thijs Alkemade fra Computest Research Division

TCC

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program med rodrettigheder kan muligvis få adgang til en brugers private oplysninger

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2020-10008: Wojciech Reguła fra SecuRing (wojciechregula.blog)

Post tilføjet 14. december 2020

WebKit

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2020-27918: Liu Long fra Ant Security Light-Year Lab

Post opdateret 14. december 2020

WebKit

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering

Beskrivelse: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode.

CVE-2020-9947: cc, der arbejder med Trend Micros Zero Day Initiative

CVE-2020-9950: cc, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 21. juli 2021

Wi-Fi

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En hacker kan muligvis omgå Managed Frame Protection

Beskrivelse: Et Denial of Service-problem blev rettet via forbedret statushåndtering.

CVE-2020-27898: Stephan Marais fra University of Johannesburg

XNU

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Flere problemer er løst via forbedret logik.

CVE-2020-27935: Lior Halphon (@LIJI32)

Post tilføjet 17. december 2020

Xsan

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis få adgang til begrænsede arkiver

Beskrivelse: Problemet er løst ved forbedret godkendelse.

CVE-2020-10006: Wojciech Reguła (@_r3ggi) fra SecuRing

Yderligere anerkendelser

802.1X

Vi vil gerne takke Kenana Dalle fra Hamad bin Khalifa University og Ryan Riley fra Carnegie Mellon University i Qatar for hjælpen.

Post tilføjet 14. december 2020

Audio

Vi vil gerne takke JunDong Xie og Xingwei Lin fra Ant-Financial Light-Year Security Lab, Marc Schoenefeld Dr. rer. nat. for hjælpen.

Post opdateret 16. marts 2021

Bluetooth

Vi vil gerne takke Andy Davis fra NCC Group og Dennis Heinze (@ttdennis) fra TU Darmstadt, Secure Mobile Networking Lab, for hjælpen.

Post opdateret 14. december 2020

Clang

Vi vil gerne takke Brandon Azad fra Google Project Zero for hjælpen.

Core Location

Vi vil gerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjælpen.

Crash Reporter

Vi vil gerne takke Artur Byszko fra AFINE for hjælpen.

Post tilføjet 14. december 2020

Directory Utility

Vi vil gerne takke Wojciech Reguła (@_r3ggi) fra SecuRing for hjælpen.

iAP

Vi vil gerne takke Andy Davis fra NCC Group for hjælpen.

Kernel

Vi vil gerne takke Brandon Azad fra Google Project Zero, Stephen Röttger fra Google for hjælpen.

libxml2

Vi vil gerne takke en anonym programmør for hjælpen.

Post tilføjet 14. december 2020

Login Window

Vi vil gerne takke Rob Morton fra Leidos for hjælpen.

Post tilføjet 16. marts 2021

Login Window

Vi vil gerne takke Rob Morton fra Leidos for hjælpen.

Photos Storage

Vi vil gerne takke Paulos Yibelo fra LimeHats for hjælpen.

Quick Look

Vi vil gerne takke Csaba Fitzl (@theevilbit) og Wojciech Reguła fra SecuRing (wojciechregula.blog) for hjælpen.

Safari

Vi vil gerne takke Gabriel Corona og Narendra Bhati fra Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati for hjælpen.

Security

Vi vil gerne takke Christian Starkjohann fra Objective Development Software GmbH for hjælpen.

System Preferences

Vi vil gerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjælpen.

Post tilføjet 16. marts 2021

System Preferences

Vi vil gerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjælpen.

WebKit

Maximilian Blochberger fra Security in Distributed Systems Group, University of Hamburg

Post tilføjet 25. maj 2022

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: