Πληροφορίες για το περιεχόμενο ασφάλειας του macOS Catalina 10.15.3, της Ενημέρωσης ασφάλειας 2020-001 Mojave και της Ενημέρωσης ασφάλειας 2020-001 High Sierra

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Catalina 10.15.3, της Ενημέρωσης ασφάλειας 2020-001 Mojave και της Ενημέρωσης ασφάλειας 2020-001 High Sierra.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

macOS Catalina 10.15.3, Ενημέρωση ασφάλειας 2020-001 Mojave και Ενημέρωση ασφάλειας 2020-001 High Sierra

AnnotationKit

Διατίθεται για: macOS Catalina 10.15.2

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-3877: ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

apache_mod_php

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Αποτέλεσμα: Πολλαπλά προβλήματα στο PHP

Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στο PHP έκδοση 7.3.11.

CVE-2019-11043

Ήχος

Διατίθεται για: macOS Catalina 10.15.2

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3857: Zhuo Liang της ομάδας Qihoo 360 Vulcan

autofs

Διατίθεται για: macOS Catalina 10.15.2

Αποτέλεσμα: Η αναζήτηση και το άνοιγμα ενός αρχείου από μια προσάρτηση NFS ελεγχόμενη από εισβολέα ενδέχεται να παρακάμψει το Gatekeeper

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετους ελέγχους από το Gatekeeper σε αρχεία προσαρτημένα μέσω ενός κοινόχρηστου στοιχείου δικτύου.

CVE-2020-3866: Jose Castro Almeida (@HackerOn2Wheels) και René Kroka (@rene_kroka)

CoreBluetooth

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-3848: Jianjun Dai της Qihoo 360 Alpha Lab

CVE-2020-3849: Jianjun Dai της Qihoo 360 Alpha Lab

CVE-2020-3850: Jianjun Dai της Qihoo 360 Alpha Lab

CoreBluetooth

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-3847: Jianjun Dai της Qihoo 360 Alpha Lab

Εργαλείο αναφοράς σφαλμάτων

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.

CVE-2020-3835: Csaba Fitzl (@theevilbit)

crontab

Διατίθεται για: macOS Catalina 10.15.2

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3863: James Hutchins

Βρέθηκε στις εφαρμογές

Διατίθεται για: macOS Catalina 10.15.2

Αποτέλεσμα: Ενδέχεται να υπάρξει ακατάλληλη πρόσβαση σε κρυπτογραφημένα δεδομένα

Περιγραφή: Υπήρχε ένα πρόβλημα με την πρόσβαση των Προτάσεων Siri σε κρυπτογραφημένα δεδομένα. Το πρόβλημα διορθώθηκε με τον περιορισμό της πρόσβασης σε κρυπτογραφημένα δεδομένα.

CVE-2020-9774: Bob Gendler του National Institute of Standards and Technology

Επεξεργασία εικόνας

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου JPEG μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-3827: Samuel Groß του Google Project Zero

ImageIO

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-3826: Samuel Groß του Google Project Zero

CVE-2020-3870

CVE-2020-3878: Samuel Groß του Google Project Zero

CVE-2020-3880: Samuel Groß του Google Project Zero

Πρόγραμμα οδήγησης γραφικών Intel

Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.2

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3845: Zhuo Liang της ομάδας Qihoo 360 Vulcan

IOAcceleratorFamily

Διατίθεται για: macOS Catalina 10.15.2

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3837: Brandon Azad του Google Project Zero

IOThunderboltFamily

Διατίθεται για: macOS Catalina 10.15.2

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-3851: Xiaolong Bai και Min (Spark) Zheng της Alibaba Inc. και Luyi Xing του Indiana University Bloomington

IPSec

Διατίθεται για: macOS Catalina 10.15.2

Αποτέλεσμα: Η φόρτωση ενός κακόβουλου αρχείου διαμόρφωσης racoon ενδέχεται να έχει ως αποτέλεσμα την εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε ένα πρόβλημα λογικής με τον χειρισμό των αρχείων διαμόρφωσης racoon. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2020-3840: @littlelailo

Πυρήνας

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2020-3875: Brandon Azad του Google Project Zero

Πυρήνας

Διατίθεται για: macOS Catalina 10.15.2

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3872: Haakon Garseg Mørk της Cognite και Cim Stordal της Cognite

Πυρήνας

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3853: Brandon Azad του Google Project Zero

Πυρήνας

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένη διαχείρισης της μνήμης.

CVE-2020-3836: Brandon Azad του Google Project Zero

Πυρήνας

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3842: Ned Williamson σε συνεργασία με το Google Project Zero

CVE-2020-3871: Corellium

libxml2

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένη επαλήθευση μεγέθους.

CVE-2020-3846: Ranier Vilela

libxpc

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Αποτέλεσμα: Η επεξεργασία μιας συμβολοσειράς με κακόβουλη δομή μπορεί να προκαλέσει αλλοίωση σωρού

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-3856: Ian Beer του Google Project Zero

libxpc

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-3829: Ian Beer του Google Project Zero

PackageKit

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αντικαταστήσει αυθαίρετα αρχεία

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.

CVE-2020-3830: Csaba Fitzl (@theevilbit)

Ασφάλεια

Διατίθεται για: macOS Catalina 10.15.2

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2020-3854: Jakob Rieck (@0xdead10cc) και Maximilian Blochberger από το Security in Distributed Systems Group του University of Hamburg

sudo

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Αποτέλεσμα: Ορισμένες διαμορφώσεις ενδέχεται να επιτρέψουν σε έναν τοπικό εισβολέα την εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-18634: Apple

Σύστημα

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αντικαταστήσει αυθαίρετα αρχεία

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2020-3855: Csaba Fitzl (@theevilbit)

Wi-Fi

Διατίθεται για: macOS Catalina 10.15.2

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2020-3839: s0ngsari του Theori and Lee του Seoul National University σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Wi-Fi

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-3843: Ian Beer του Google Project Zero

wifivelocityd

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική δικαιωμάτων.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Επιπλέον αναγνώριση

Χώρος αποθήκευσης φωτογραφιών

Θα θέλαμε να ευχαριστήσουμε την Allison Husain του UC Berkeley για τη βοήθειά της.

SharedFileList

Θα θέλαμε να ευχαριστήσουμε τον Patrick Wardle του Jamf για τη βοήθειά του.