Om sikkerhedsindholdet i macOS Big Sur 11.0.1

I dette dokument beskrives sikkerhedsindholdet i macOS Big Sur 11.0.1.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Big Sur 11.0.1

Udgivet 12. november 2020

App Store

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2020-27903: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab

Lyd

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-27910: JunDong Xie og XingWei Lin fra Ant Security Light-Year Lab

Lyd

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2020-27916: JunDong Xie fra Ant Security Light-Year Lab

Lyd

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2020-9943: JunDong Xie fra Ant Group Light-Year Security Lab

Lyd

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2020-9944: JunDong Xie fra Ant Group Light-Year Security Lab

Bluetooth

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller beskadigelse af heap

Beskrivelse: Et problem med flere heltalsoverløb blev rettet gennem forbedret inputvalidering.

CVE-2020-27906: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqiong Security Lab

CoreAudio

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2020-10017: Francis, der arbejder med Trend Micros Zero Day Initiative, JunDong Xie fra Ant Security Light-Year Lab

CoreCapture

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2020-9949: Proteas

CoreGraphics

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2020-9883: En anonym programmør, Mickey Jin fra Trend Micro

Crash Reporter

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Der var et problem med stigodkendelseslogikken for symbolske links. Problemet blev løst med forbedret stirensning.

CVE-2020-10003: Tim Michaud (@TimGMichaud) fra Leviathan

CoreText

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2020-9999: Mickey Jin og Junzhi Lu fra Trend Micro

Diskbilleder

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Finder

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Brugere kan muligvis ikke fjerne metadata, der indikerer, hvorfra arkiver blev downloadet

Beskrivelse: Problemet blev løst ved yderligere brugerkontroller.

CVE-2020-27894: Manuel Trezza fra Shuggr (shuggr.com)

FontParser

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af en skadelig skrift kan medføre kørsel af vilkårlig kode. Apple er opmærksom på rapporter om, at dette problem kan udnyttes offentligt.

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2020-27930: Google Project Zero

FontParser

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2020-27927: Xingwei Lin fra Ant Security Light-Year Lab

Foundation

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En lokal bruger kan muligvis læse vilkårlige arkiver

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2020-10002: James Hutchins

ImageIO

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2020-27912: Xingwei Lin fra Ant Security Light-Year Lab

ImageIO

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2020-9876: Mickey Jin fra Trend Micro

Kernel

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et logikproblem, som resulterede i beskadiget hukommelse. Det er løst ved hjælp af forbedret statusadministration.

CVE-2020-27904: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqong Security Lab

Kernel

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En hacker i en privilegeret netværksposition kan muligvis indsætte i aktive forbindelser i en VPN-tunnel

Beskrivelse: Et routingproblem er løst via forbedrede begrænsninger.

CVE-2019-14899: William J. Tolley, Beau Kujath og Jedidiah R. Crandall

Kernel

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis afsløre kernehukommelse. Apple er opmærksom på rapporter om, at dette problem kan udnyttes offentligt.

Beskrivelse: Et problem med hukommelsesinitialisering er blevet løst.

CVE-2020-27950: Google Project Zero

Kernel

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2020-10016: Alex Helie

Kernel

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder. Apple er opmærksom på rapporter om, at dette problem kan udnyttes offentligt.

Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.

CVE-2020-27932: Google Project Zero

libxml2

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2020-27917: Fundet af OSS-Fuzz

libxml2

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2020-27911: Fundet af OSS-Fuzz

libxpc

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et parsingproblem i forbindelse med behandlingen af biblioteksstier blev løst via forbedret stigodkendelse.

CVE-2020-10014: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab

Logning

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2020-10010: Tommy Muir (@Muirey03)

Mail

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En hacker kan muligvis uventet ændre programstatus

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-9941: Fabian Ising fra FH Münster University of Applied Sciences og Damian Poddebniak fra FH Münster University of Applied Sciences

Beskeder

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En lokal bruger kan muligvis finde en brugers slettede beskeder

Beskrivelse: Problemet blev løst ved forbedret sletning.

CVE-2020-9988: William Breuer fra Holland

CVE-2020-9989: von Brunn Media

Model I/O

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-13524: Aleksandar Nikolic fra Cisco Talos

Model I/O

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Åbning af et skadeligt arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2020-10004: Aleksandar Nikolic fra Cisco Talos

NetworkExtension

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2020-9996: Zhiwei Yuan fra Trend Micros iCore Team, Junzhi Lu og Mickey Jin fra Trend Micro

NSRemoteView

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis få vist arkiver, det ikke har adgang til

Beskrivelse: Der opstod et problem ved håndteringen af snapshots. Problemet er løst med forbedret tilladelseslogik.

CVE-2020-27900: Thijs Alkemade fra Computest Research Division

PCRE

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Flere problemer i pcre

Beskrivelse: Flere problemer blev løst ved opdatering til version 8.44.

CVE-2019-20838

CVE-2020-14155

Strømstyring

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2020-10007: singi@theori, der arbejder med Trend Micros Zero Day Initiative

python

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Cookies tilhørende et domæne kan blive videresendt til et andet domæne

Beskrivelse: Flere problemer er løst via forbedret logik.

CVE-2020-27896: En anonym programmør

Vis

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En skadelig app kan muligvis tjekke, om der findes arkiver på computeren

Beskrivelse: Problemet er løst ved forbedret håndtering af symbolbuffere.

CVE-2020-9963: Csaba Fitzl (@theevilbit) fra Offensive Security

Vis

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af et skadeligt dokument kan føre til scriptingangreb på tværs af websteder

Beskrivelse: Et adgangsproblem er løst med forbedrede adgangsbegrænsninger.

CVE-2020-10012: Heige fra KnownSec 404 Team (https://www.knownsec.com/) og Bo Qu fra Palo Alto Networks (https://www.paloaltonetworks.com/)

Ruby

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et fjernangreb kan muligvis ændre arkivsystemet

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2020-27896: En anonym programmør

Ruby

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Ved parsing af visse JSON-dokumenter kan json blive tvunget til at oprette tilfældige objekter i destinationssystemet

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-10663: Jeremy Evans

Safari

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Der var et problem med efterligning i håndteringen af URL-adresser. Problemet er løst ved forbedret inputvalidering.

CVE-2020-9945: Narendra Bhati fra Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati

Safari

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis se brugerens åbne faner i Safari

Beskrivelse: Der var et godkendelsesproblem med bekræftelsen af rettigheder. Problemet er løst ved forbedret godkendelse af procesrettigheder.

CVE-2020-9977: Josh Parnham (@joshparnham)

Safari

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2020-9942: En anonym programmør, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora) fra The City School, PAF Chapter, Ruilin Yang fra Tencent Security Xuanwu Lab, YoKo Kho (@YoKoAcc) fra PT Telekomunikasi Indonesia (Persero) Tbk, Zhiyang Zeng(@Wester) fra OPPO ZIWU Security Lab

Sandbox

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En lokal bruger kan muligvis få adgang til følsomme brugeroplysninger

Beskrivelse: Et adgangsproblem er løst med yderligere sandbox-begrænsninger.

CVE-2020-9969: Wojciech Reguła fra SecuRing (wojciechregula.blog)

SQLite

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-9991

SQLite

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En ekstern hacker kan lække hukommelse

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret statusadministration.

CVE-2020-9849

SQLite

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Flere problemer i SQLite

Beskrivelse: Flere problemer blev løst ved at opdatere SQLite til version 3.32.3.

CVE-2020-15358

SQLite

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En skadelig SQL-forespørgsel kan føre til beskadigelse af data

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-13631

SQLite

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

SQLite

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2020-13630

Systemindstillinger

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2020-10009: Thijs Alkemade fra Computest Research Division

WebKit

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2020-27918: En anonym programmør

Wi-Fi

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: En hacker kan muligvis omgå Managed Frame Protection

Beskrivelse: Et Denial of Service-problem blev rettet via forbedret statushåndtering.

CVE-2020-27898: Stephan Marais fra University of Johannesburg

Xsan

Fås til: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (ultimo 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Effekt: Et skadeligt program kan muligvis få adgang til begrænsede arkiver

Beskrivelse: Problemet er løst ved forbedret godkendelse.

CVE-2020-10006: Wojciech Reguła (@_r3ggi) fra SecuRing

Yderligere anerkendelser

Lyd

Vi vil gerne takke JunDong Xie og XingWei Lin fra Ant-financial Light-Year Security Lab, en anonym programmør for hjælpen.

Bluetooth

Vi vil gerne takke Dennis Heinze (@ttdennis) fra TU Darmstadt, Secure Mobile Networking Lab for hjælpen.

Clang

Vi vil gerne takke Brandon Azad fra Google Project Zero for hjælpen.

Kernelokalitet

Vi vil gerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjælpen.

Biblioteksværktøj

Vi vil gerne takke Wojciech Reguła (@_r3ggi) fra SecuRing for hjælpen.

iAP

Vi vil gerne takke Andy Davis fra NCC Group for hjælpen.

Kernel

Vi vil gerne takke Brandon Azad fra Google Project Zero, Stephen Röttger fra Google for hjælpen.

Log ind-vindue

Vi vil gerne takke Rob Morton fra Leidos for hjælpen.

Lagringsplads for billeder

Vi vil gerne takke Paulos Yibelo fra LimeHats for hjælpen.

Vis

Vi vil gerne takke Csaba Fitzl (@theevilbit) og Wojciech Reguła fra SecuRing (wojciechregula.blog) for hjælpen.

Safari

Vi vil gerne takke Gabriel Corona og Narendra Bhati fra Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati for hjælpen.

Sikkerhed

Vi vil gerne takke Christian Starkjohann fra Objective Development Software GmbH for hjælpen.

Systemindstillinger

Vi vil gerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: