Informationen zum Sicherheitsinhalt von macOS Big Sur 11.1, Sicherheitsupdate 2020-001 Catalina und Sicherheitsupdate 2020-007 Mojave
In diesem Dokument wird der Sicherheitsinhalt von macOS Big Sur 11.1, Sicherheitsupdate 2020-001 Catalina und Sicherheitsupdate 2020-007 Mojave beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.
macOS Big Sur 11.1, Sicherheitsupdate 2020-001 Catalina, Sicherheitsupdate 2020-007 Mojave
AMD
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-27914: Yu Wang von Didi Research America
CVE-2020-27915: Yu Wang von Didi Research America
AMD
Verfügbar für: macOS Big Sur 11.0.1
Auswirkung: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch verursachen oder Kernelspeicher lesen.
Beschreibung: Es bestand ein Problem, das den Lesezugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dadurch wurden Inhalte des Kernelspeichers offengelegt. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-27936: Yu Wang von Didi Research America
App Store
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.
Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.
CVE-2020-27903: Zhipeng Huo (@R3dF09) von Tencent Security Xuanwu Lab
AppleGraphicsControl
Verfügbar für: macOS Mojave 10.14.6, macOS Catalina 10.15.7 und macOS Big Sur 11.0.1
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.
CVE-2020-27941: shrek_wzw
AppleMobileFileIntegrity
Verfügbar für: macOS Big Sur 11.0.1
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann die Datenschutzeinstellungen umgehen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2020-29621: Wojciech Reguła (@_r3ggi) von SecuRing
Audio
Verfügbar für: macOS Big Sur 11.0.1
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann begrenzten Speicher aufweisen
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-29610: Anonymous in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Audio
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-27910: JunDong Xie und XingWei Lin von Ant Security Light-Year Lab
Audio
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein Schadprogramm kann eingeschränkten Speicher lesen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2020-9943: JunDong Xie von Ant Security Light-Year Lab
Audio
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2020-9944: JunDong Xie von Ant Security Light-Year Lab
Audio
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-27916: JunDong Xie von Ant Security Light-Year Lab
Bluetooth
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder eine Heapbeschädigung verursachen.
Beschreibung: Mehrere Ganzzahlüberläufe wurden durch eine verbesserte Eingabeüberprüfung verhindert.
CVE-2020-27906: Zuozhi Fan (@pattern_F_) von Ant Group Tianqiong Security Lab
CoreAudio
Verfügbar für: macOS Mojave 10.14.6, macOS Catalina 10.15.7 und macOS Big Sur 11.0.1
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2020-27948: JunDong Xie von Ant Security Light-Year Lab
CoreAudio
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-27908: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, JunDong Xie und Xingwei Lin von Ant Security Light-Year Lab
CVE-2020-9960: JunDong Xie und Xingwei Lin von Ant Security Light-Year Lab
CoreAudio
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-10017: Francis von der Zero Day Initiative von Trend Micro, JunDong Xie von Ant Security Light-Year Lab
CoreText
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2020-27922: Mickey Jin von Trend Micro
CUPS
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein Schadprogramm kann eingeschränkten Speicher lesen.
Beschreibung: Ein Problem bei der Eingabeüberprüfung wurde durch eine verbesserte Arbeitsspeicherverwaltung behoben.
CVE-2020-10001: Niky
FontParser
Verfügbar für: macOS Big Sur 11.0.1
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schrift kann zur Preisgabe des Prozessspeichers führen.
Beschreibung: Ein Problem mit der Offenlegung von Informationen wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2020-27946: Mateusz Jurczyk von Google Project Zero
FontParser
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Größenüberprüfung behoben.
CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)
FontParser
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-27952: Ein anonymer Forscher, Mickey Jin und Junzhi Lu von Trend Micro
FontParser
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-9956: Mickey Jin und Junzhi Lu von Trend Micro Mobile Security Research Team in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
FontParser
Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 und macOS Big Sur 11.0.1
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-27931: Apple
CVE-2020-27943: Mateusz Jurczyk von Google Project Zero
CVE-2020-27944: Mateusz Jurczyk von Google Project Zero
CVE-2020-29624: Mateusz Jurczyk von Google Project Zero
FontParser
Verfügbar für: macOS Big Sur 11.0.1
Auswirkung: Ein entfernter Angreifer kann möglicherweise ein Speicherleck verursachen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2020-29608: Xingwei Lin von Ant Security Light-Year Lab
Foundation
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein lokaler Benutzer kann willkürliche Dateien lesen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2020-10002: James Hutchins
Graphics Drivers
Verfügbar für: macOS Mojave 10.14.6, macOS Catalina 10.15.7 und macOS Big Sur 11.0.1
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-27947: ABC Research s.r.o. in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Liu Long von Ant Security Light-Year Lab
Graphics Drivers
Verfügbar für: macOS Mojave 10.14.6, macOS Catalina 10.15.7 und macOS Big Sur 11.0.1
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2020-29612: ABC Research s.r.o. in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
HomeKit
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann unerwartet den Programmstatus ändern.
Beschreibung: Dieses Problem wurde durch eine verbesserte Propagierung von Einstellungen behoben.
CVE-2020-9978: Luyi Xing, Dongfang Zhao und Xiaofeng Wang von der Indiana University Bloomington, Yan Jia von der Xidian University und der University of Chinese Academy of Sciences und Bin Yuan von der HuaZhong University of Science and Technology
ImageIO
Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.7
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2020-27939: Xingwei Lin von Ant Security Light-Year Lab
CVE-2020-29625: Xingwei Lin von Ant Security Light-Year Lab
ImageIO
Verfügbar für: macOS Catalina 10.15.7 und macOS Big Sur 11.0.1
Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-29615: XingWei Lin von Ant Security Light-Year Lab
ImageIO
Verfügbar für: macOS Big Sur 11.0.1
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-29616: zhouat in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
ImageIO
Verfügbar für: macOS Mojave 10.14.6, macOS Catalina 10.15.7 und macOS Big Sur 11.0.1
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-27924: Lei Sun
CVE-2020-29618: Xingwei Lin von Ant Security Light-Year Lab
ImageIO
Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 und macOS Big Sur 11.0.1
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2020-29611: Alexandru-Vlad Niculae in Zusammenarbeit mit Google Project Zero
ImageIO
Verfügbar für: macOS Mojave 10.14.6, macOS Catalina 10.15.7 und macOS Big Sur 11.0.1
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bilds kann zu einer Heapbeschädigung führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-29617: Xingwei Lin von Ant Security Light-Year Lab
CVE-2020-29619: Xingwei Lin von Ant Security Light-Year Lab
ImageIO
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-27912: Xingwei Lin von Ant Security Light-Year Lab
CVE-2020-27923: Lei Sun
Image Processing
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-27919: Hou JingYi (@hjy79425575) von Qihoo 360 CERT, Xingwei Lin von Ant Security Light-Year Lab
Intel Graphics Driver
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2020-10015: ABC Research s.r.o. in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2020-27897: Xiaolong Bai und Min (Spark) Zheng von Alibaba Inc. und Luyi Xing von der Indiana University Bloomington
Intel Graphics Driver
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-27907: ABC Research s.r.o. in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Liu Long von Ant Security Light-Year Lab
Kernel
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Das Layout des Kernelspeichers kann möglicherweise von einem Schadprogramm ermittelt werden.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2020-10016: Alex Helie
Kernel
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein entfernter Angreifer kann möglicherweise einen unerwarteten Systemabbruch oder einen Fehler beim Kernelspeicher verursachen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-9967: Alex Plaskett (@alexjplaskett)
Kernel
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-9975: Tielei Wang von Pangu Lab
Kernel
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Statusverarbeitung behoben.
CVE-2020-27921: Linus Henze (pinauten.de)
Kernel
Verfügbar für: macOS Mojave 10.14.6, macOS Catalina 10.15.7 und macOS Big Sur 11.0.1
Auswirkung: Ein Schadprogramm kann unerwartete Änderungen am Arbeitsspeicher durchführen, der zu Tracing-Prozessen von DTrace gehört.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben, die nicht autorisierte Aktionen verhindern.
CVE-2020-27949: Steffen Klee (@_kleest) von der TU Darmstadt, Secure Mobile Networking Lab
Kernel
Verfügbar für: macOS Big Sur 11.0.1
Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.
Beschreibung: Dieses Problem wurde durch verbesserte Berechtigungen behoben.
CVE-2020-29620: Csaba Fitzl (@theevilbit) von Offensive Security
libxml2
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen.
Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-27911: gefunden von OSS-Fuzz
libxml2
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von Code führen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-27920: gefunden von OSS-Fuzz
libxml2
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-27926: gefunden von OSS-Fuzz
libxpc
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein Schadprogramm kann die Sandbox umgehen.
Beschreibung: Ein Parsing-Problem bei der Verarbeitung von Verzeichnispfaden wurde durch eine verbesserte Pfadüberprüfung behoben.
CVE-2020-10014: Zhipeng Huo (@R3dF09) von Tencent Security Xuanwu Lab
Logging
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein lokaler Angreifer kann möglicherweise seine Berechtigungen erhöhen.
Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.
CVE-2020-10010: Tommy Muir (@Muirey03)
Login Window
Verfügbar für: macOS Big Sur 11.0.1
Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann möglicherweise die Authentifizierungsrichtlinie umgehen.
Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2020-29633: Jewel Lambert von Original Spin, LLC.
Model I/O
Verfügbar für: macOS Big Sur 11.0.1
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einer Heapbeschädigung führen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2020-29614: ZhiWei Sun(@5n1p3r0010) von Topsec Alpha pLab
Model I/O
Verfügbar für: macOS Catalina 10.15.7
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten USD-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2020-13520: Aleksandar Nikolic von Cisco Talos
Model I/O
Verfügbar für: macOS Catalina 10.15.7 und macOS Big Sur 11.0.1
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten USD-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-9972: Aleksandar Nikolic von Cisco Talos
Model I/O
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten USD-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2020-13524: Aleksandar Nikolic von Cisco Talos
Model I/O
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Das Öffnen einer in böser Absicht erstellten Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2020-10004: Aleksandar Nikolic von Cisco Talos
NSRemoteView
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2020-27901: Thijs Alkemade von der Research Division von Computest
Power Management
Verfügbar für: macOS Big Sur 11.0.1
Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2020-27938: Tim Michaud (@TimGMichaud) von Leviathan
Power Management
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Das Layout des Kernelspeichers kann möglicherweise von einem Schadprogramm ermittelt werden.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2020-10007: singi@theori in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Quick Look
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Dokuments kann zu einem Cross-Site-Scripting-Angriff führen.
Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.
CVE-2020-10012: Heige von KnownSec 404 Team (knownsec.com) und Bo Qu von Palo Alto Networks (paloaltonetworks.com)
Ruby
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein entfernter Angreifer kann möglicherweise das Dateisystem ändern.
Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.
CVE-2020-27896: Ein anonymer Forscher
System Preferences
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2020-10009: Thijs Alkemade von Computest Research Division
WebKit Storage
Verfügbar für: macOS Big Sur 11.0.1
Auswirkung: Ein Benutzer kann unter Umständen nicht den gesamten Browserverlauf löschen.
Beschreibung: „Verlauf und Websitedaten löschen“ hat den Verlauf nicht gelöscht. Das Problem wurde durch ein verbessertes Löschen von Daten behoben.
CVE-2020-29623: Simon Hunt von OvalTwo LTD
WebRTC
Verfügbar für: macOS Big Sur 11.0.1
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-15969: Ein anonymer Forscher
Wi-Fi
Verfügbar für: macOS Mojave 10.14.6 und macOS Catalina 10.15.7
Auswirkung: Ein Angreifer kann möglicherweise den Managed Frame Protection umgehen.
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Statusverarbeitung behoben.
CVE-2020-27898: Stephan Marais von der University of Johannesburg
Zusätzliche Danksagung
CoreAudio
Wir möchten uns bei JunDong Xie und Xingwei Lin von Ant Security Light-Year Lab für die Unterstützung bedanken.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.