Informationen zum Sicherheitsinhalt von macOS Big Sur 11.1, Sicherheitsupdate 2020-001 Catalina und Sicherheitsupdate 2020-007 Mojave

In diesem Dokument wird der Sicherheitsinhalt von macOS Big Sur 11.1, Sicherheitsupdate 2020-001 Catalina und Sicherheitsupdate 2020-007 Mojave beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

macOS Big Sur 11.1, Sicherheitsupdate 2020-001 Catalina, Sicherheitsupdate 2020-007 Mojave

Veröffentlicht am 14. Dezember 2020

AMD

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-27914: Yu Wang von Didi Research America

CVE-2020-27915: Yu Wang von Didi Research America

AMD

Verfügbar für: macOS Big Sur 11.0.1

Auswirkung: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch verursachen oder Kernelspeicher lesen.

Beschreibung: Es bestand ein Problem, das den Lesezugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dadurch wurden Inhalte des Kernelspeichers offengelegt. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-27936: Yu Wang von Didi Research America

Eintrag hinzugefügt am 1. Februar 2021

App Store

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2020-27903: Zhipeng Huo (@R3dF09) von Tencent Security Xuanwu Lab

AppleGraphicsControl

Verfügbar für: macOS Mojave 10.14.6, macOS Catalina 10.15.7 und macOS Big Sur 11.0.1

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2020-27941: shrek_wzw

AppleMobileFileIntegrity

Verfügbar für: macOS Big Sur 11.0.1

Auswirkung: Ein in böser Absicht erstelltes Programm kann möglicherweise die Datenschutzeinstellungen umgehen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2020-29621: Wojciech Reguła (@_r3ggi) von SecuRing

Audio

Verfügbar für: macOS Big Sur 11.0.1

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann begrenzten Speicher aufweisen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-29610: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 16. März 2021 hinzugefügt

Audio

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-27910: JunDong Xie und Xingwei Lin von Ant Security Light-Year Lab

Audio

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein Schadprogramm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2020-9943: JunDong Xie von Ant Security Light-Year Lab

Audio

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2020-9944: JunDong Xie von Ant Security Light-Year Lab

Audio

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-27916: JunDong Xie von Ant Security Light-Year Lab

Bluetooth

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder eine Heapbeschädigung verursachen.

Beschreibung: Mehrere Ganzzahlüberläufe wurden durch eine verbesserte Eingabeüberprüfung verhindert.

CVE-2020-27906: Zuozhi Fan (@pattern_F_) von Ant Group Tianqiong Security Lab

CoreAudio

Verfügbar für: macOS Mojave 10.14.6, macOS Catalina 10.15.7 und macOS Big Sur 11.0.1

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2020-27948: JunDong Xie von Ant Security Light-Year Lab

CoreAudio

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-27908: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, JunDong Xie und Xingwei Lin von Ant Security Light-Year Lab

CVE-2020-9960: JunDong Xie und Xingwei Lin von Ant Security Light-Year Lab

Eintrag am 16. März 2021 aktualisiert

CoreAudio

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-10017: Francis in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, JunDong Xie von Ant Security Light-Year Lab

CoreText

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2020-27922: Mickey Jin von Trend Micro

CUPS

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein Schadprogramm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem bei der Eingabeüberprüfung wurde durch eine verbesserte Arbeitsspeicherverwaltung behoben.

CVE-2020-10001: Niky <kittymore83@gmail.com> von China Mobile

Eintrag hinzugefügt am 1. Februar 2021

FontParser

Verfügbar für: macOS Big Sur 11.0.1

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schrift kann zur Preisgabe des Prozessspeichers führen.

Beschreibung: Ein Problem mit der Offenlegung von Informationen wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2020-27946: Mateusz Jurczyk von Google Project Zero

FontParser

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Größenüberprüfung behoben.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

FontParser

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-27952: Ein anonymer Forscher, Mickey Jin und Junzhi Lu von Trend Micro

FontParser

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-9956: Mickey Jin und Junzhi Lu von Trend Micro Mobile Security Research Team in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

FontParser

Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 und macOS Big Sur 11.0.1

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-27931: Apple

CVE-2020-27943: Mateusz Jurczyk von Google Project Zero

CVE-2020-27944: Mateusz Jurczyk von Google Project Zero

CVE-2020-29624: Mateusz Jurczyk von Google Project Zero

Eintrag am 22. Dezember 2020 aktualisiert

FontParser

Verfügbar für: macOS Big Sur 11.0.1

Auswirkung: Ein entfernter Angreifer kann möglicherweise ein Speicherleck verursachen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2020-29608: Xingwei Lin von Ant Security Light-Year Lab

Eintrag am 1. Februar 2021 hinzugefügt

Foundation

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein lokaler Benutzer kann willkürliche Dateien lesen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2020-10002: James Hutchins

Grafiktreiber

Verfügbar für: macOS Mojave 10.14.6, macOS Catalina 10.15.7 und macOS Big Sur 11.0.1

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-27947: ABC Research s.r.o. in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Liu Long von Ant Security Light-Year Lab

Eintrag am 16. März 2021 aktualisiert

Grafiktreiber

Verfügbar für: macOS Mojave 10.14.6, macOS Catalina 10.15.7 und macOS Big Sur 11.0.1

Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2020-29612: ABC Research s.r.o. in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

HomeKit

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann unerwartet den Programmstatus ändern.

Beschreibung: Dieses Problem wurde durch eine verbesserte Propagierung von Einstellungen behoben.

CVE-2020-9978: Luyi Xing, Dongfang Zhao und Xiaofeng Wang von der Indiana University Bloomington, Yan Jia von der Xidian University und der University of Chinese Academy of Sciences und Bin Yuan von der HuaZhong University of Science and Technology

ImageIO

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6, macOS Catalina 10.15.7

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2020-27939: Xingwei Lin von Ant Security Light-Year Lab

CVE-2020-29625: Xingwei Lin von Ant Security Light-Year Lab

Eintrag am 22. Dezember 2020 hinzugefügt, am 1. Februar 2021 aktualisiert

ImageIO

Verfügbar für: macOS Catalina 10.15.7 und macOS Big Sur 11.0.1

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-29615: Xingwei Lin von Ant Security Light-Year Lab

Eintrag hinzugefügt am 1. Februar 2021

ImageIO

Verfügbar für: macOS Big Sur 11.0.1

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-29616: zhouat in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

ImageIO

Verfügbar für: macOS Mojave 10.14.6, macOS Catalina 10.15.7 und macOS Big Sur 11.0.1

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-27924: Lei Sun

CVE-2020-29618: Xingwei Lin von Ant Security Light-Year Lab

ImageIO

Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 und macOS Big Sur 11.0.1

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2020-29611: Alexandru-Vlad Niculae in Zusammenarbeit mit Google Project Zero

Eintrag am 17. Dezember 2020 aktualisiert

ImageIO

Verfügbar für: macOS Mojave 10.14.6, macOS Catalina 10.15.7 und macOS Big Sur 11.0.1

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bilds kann zu einer Heapbeschädigung führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-29617: Xingwei Lin von Ant Security Light-Year Lab

CVE-2020-29619: Xingwei Lin von Ant Security Light-Year Lab

ImageIO

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-27912: Xingwei Lin von Ant Security Light-Year Lab

CVE-2020-27923: Lei Sun

Bildbearbeitung

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-27919: Hou JingYi (@hjy79425575) von Qihoo 360 CERT, Xingwei Lin von Ant Security Light-Year Lab

Intel-Grafiktreiber

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2020-10015: ABC Research s.r.o. in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2020-27897: Xiaolong Bai und Min (Spark) Zheng von Alibaba Inc. und Luyi Xing von der Indiana University Bloomington

Intel-Grafiktreiber

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-27907: ABC Research s.r.o. in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Liu Long von Ant Security Light-Year Lab

Eintrag am 16. März 2021 aktualisiert

Kernel

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Das Layout des Kernelspeichers kann möglicherweise von einem Schadprogramm ermittelt werden.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2020-10016: Alex Helie

Kernel

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein entfernter Angreifer kann möglicherweise einen unerwarteten Systemabbruch oder einen Fehler beim Kernelspeicher verursachen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Kernel

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-9975: Tielei Wang von Pangu Lab

Kernel

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2020-27921: Linus Henze (pinauten.de)

Kernel

Verfügbar für: macOS Mojave 10.14.6, macOS Catalina 10.15.7 und macOS Big Sur 11.0.1

Auswirkung: Ein Schadprogramm kann unerwartete Änderungen am Arbeitsspeicher durchführen, der zu Tracing-Prozessen von DTrace gehört.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben, die nicht autorisierte Aktionen verhindern.

CVE-2020-27949: Steffen Klee (@_kleest) von der TU Darmstadt, Secure Mobile Networking Lab

Kernel

Verfügbar für: macOS Big Sur 11.0.1

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Dieses Problem wurde durch verbesserte Berechtigungen behoben.

CVE-2020-29620: Csaba Fitzl (@theevilbit) von Offensive Security

libxml2

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-27911: gefunden von OSS-Fuzz

libxml2

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von Code führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-27920: gefunden von OSS-Fuzz

libxml2

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-27926: gefunden von OSS-Fuzz

libxpc

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein Schadprogramm kann die Sandbox umgehen.

Beschreibung: Ein Parsing-Problem bei der Verarbeitung von Verzeichnispfaden wurde durch eine verbesserte Pfadüberprüfung behoben.

CVE-2020-10014: Zhipeng Huo (@R3dF09) von Tencent Security Xuanwu Lab

Protokollierung

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein lokaler Angreifer kann möglicherweise seine Berechtigungen erhöhen.

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2020-10010: Tommy Muir (@Muirey03)

Anmeldefenster

Verfügbar für: macOS Big Sur 11.0.1

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann möglicherweise die Authentifizierungsrichtlinie umgehen.

Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2020-29633: Jewel Lambert von Original Spin, LLC.

Eintrag hinzugefügt am 1. Februar 2021

Model I/O

Verfügbar für: macOS Big Sur 11.0.1

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einer Heapbeschädigung führen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2020-29614: ZhiWei Sun(@5n1p3r0010) von Topsec Alpha pLab

Eintrag hinzugefügt am 1. Februar 2021

Model I/O

Verfügbar für: macOS Catalina 10.15.7

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten USD-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2020-13520: Aleksandar Nikolic von Cisco Talos

Eintrag hinzugefügt am 1. Februar 2021

Model I/O

Verfügbar für: macOS Catalina 10.15.7 und macOS Big Sur 11.0.1

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten USD-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-9972: Aleksandar Nikolic von Cisco Talos

Eintrag hinzugefügt am 1. Februar 2021

Model I/O

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten USD-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-13524: Aleksandar Nikolic von Cisco Talos

Model I/O

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Das Öffnen einer in böser Absicht erstellten Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2020-10004: Aleksandar Nikolic von Cisco Talos

NSRemoteView

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2020-27901: Thijs Alkemade von Computest Research Division

Energieverwaltung

Verfügbar für: macOS Big Sur 11.0.1

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2020-27938: Tim Michaud (@TimGMichaud) von Leviathan

Eintrag hinzugefügt am 1. Februar 2021

Energieverwaltung

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Das Layout des Kernelspeichers kann möglicherweise von einem Schadprogramm ermittelt werden.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2020-10007: singi@theori in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Übersicht

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Dokuments kann zu einem Cross-Site-Scripting-Angriff führen.

Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2020-10012: Heige von KnownSec 404 Team (knownsec.com) und Bo Qu von Palo Alto Networks (paloaltonetworks.com)

Ruby

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein entfernter Angreifer kann möglicherweise das Dateisystem ändern.

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2020-27896: Ein anonymer Forscher

Systemeinstellungen

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2020-10009: Thijs Alkemade von Computest Research Division

WebKit-Speicher

Verfügbar für: macOS Big Sur 11.0.1

Auswirkung: Ein Benutzer kann unter Umständen nicht den gesamten Browserverlauf löschen.

Beschreibung: "Verlauf und Websitedaten löschen" hat den Verlauf nicht gelöscht. Das Problem wurde durch ein verbessertes Löschen von Daten behoben.

CVE-2020-29623: Simon Hunt von OvalTwo LTD

Eintrag hinzugefügt am 1. Februar 2021

WebRTC

Verfügbar für: macOS Big Sur 11.0.1

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-15969: Ein anonymer Forscher

WLAN

Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7

Auswirkung: Ein Angreifer kann möglicherweise den Managed Frame Protection umgehen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2020-27898: Stephan Marais von der University of Johannesburg

 

Zusätzliche Danksagung

CoreAudio

Wir möchten uns bei JunDong Xie und Xingwei Lin von Ant Security Light-Year Security Lab für die Unterstützung bedanken.

Eintrag am 16. März 2021 hinzugefügt

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: