Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
macOS Catalina 10.15.3, Ενημέρωση ασφάλειας 2020-001 Mojave και Ενημέρωση ασφάλειας 2020-001 High Sierra
Κυκλοφόρησε στις 28 Ιανουαρίου 2020
AnnotationKit
Διατίθεται για: macOS Catalina 10.15.2
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-3877: ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
apache_mod_php
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Αποτέλεσμα: Πολλαπλά προβλήματα στο PHP
Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στο PHP έκδοση 7.3.11.
CVE-2019-11043
Ήχος
Διατίθεται για: macOS Catalina 10.15.2
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2020-3857: Zhuo Liang της ομάδας Qihoo 360 Vulcan
autofs
Διατίθεται για: macOS Catalina 10.15.2
Αποτέλεσμα: Η αναζήτηση και το άνοιγμα ενός αρχείου από μια προσάρτηση NFS ελεγχόμενη από εισβολέα ενδέχεται να παρακάμψει το Gatekeeper
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετους ελέγχους από το Gatekeeper σε αρχεία προσαρτημένα μέσω ενός κοινόχρηστου στοιχείου δικτύου.
CVE-2020-3866: Jose Castro Almeida (@HackerOn2Wheels) και René Kroka (@rene_kroka)
CoreBluetooth
Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-3848: Jianjun Dai της Qihoo 360 Alpha Lab
CVE-2020-3849: Jianjun Dai της Qihoo 360 Alpha Lab
CVE-2020-3850: Jianjun Dai της Qihoo 360 Alpha Lab
Η καταχώριση ενημερώθηκε στις 3 Φεβρουαρίου 2020
CoreBluetooth
Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-3847: Jianjun Dai της Qihoo 360 Alpha Lab
Η καταχώριση ενημερώθηκε στις 3 Φεβρουαρίου 2020
Εργαλείο αναφοράς σφαλμάτων
Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2
Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία
Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.
CVE-2020-3835: Csaba Fitzl (@theevilbit)
crontab
Διατίθεται για: macOS Catalina 10.15.2
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2020-3863: James Hutchins
Η καταχώριση προστέθηκε στις 8 Σεπτεμβρίου 2020
Βρέθηκε στις εφαρμογές
Διατίθεται για: macOS Catalina 10.15.2
Αποτέλεσμα: Ενδέχεται να υπάρξει ακατάλληλη πρόσβαση σε κρυπτογραφημένα δεδομένα
Περιγραφή: Υπήρχε ένα πρόβλημα με την πρόσβαση των Προτάσεων Siri σε κρυπτογραφημένα δεδομένα. Το πρόβλημα διορθώθηκε με τον περιορισμό της πρόσβασης σε κρυπτογραφημένα δεδομένα.
CVE-2020-9774: Bob Gendler του National Institute of Standards and Technology
Η καταχώριση ενημερώθηκε στις 28 Ιουλίου 2020
Επεξεργασία εικόνας
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου JPEG μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-3827: Samuel Groß του Google Project Zero
ImageIO
Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-3826: Samuel Groß του Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß του Google Project Zero
CVE-2020-3880: Samuel Groß του Google Project Zero
Η καταχώριση ενημερώθηκε στις 4 Απριλίου 2020
Πρόγραμμα οδήγησης γραφικών Intel
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.2
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2020-3845: Zhuo Liang της ομάδας Qihoo 360 Vulcan
IOAcceleratorFamily
Διατίθεται για: macOS Catalina 10.15.2
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2020-3837: Brandon Azad του Google Project Zero
IOThunderboltFamily
Διατίθεται για: macOS Catalina 10.15.2
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2020-3851: Xiaolong Bai και Min (Spark) Zheng της Alibaba Inc. και Luyi Xing του Indiana University Bloomington
Η καταχώριση προστέθηκε στις 4 Απριλίου 2020
IPSec
Διατίθεται για: macOS Catalina 10.15.2
Αποτέλεσμα: Η φόρτωση ενός κακόβουλου αρχείου διαμόρφωσης racoon ενδέχεται να έχει ως αποτέλεσμα την εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε ένα πρόβλημα λογικής με τον χειρισμό των αρχείων διαμόρφωσης racoon. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
CVE-2020-3840: @littlelailo
Πυρήνας
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2020-3875: Brandon Azad του Google Project Zero
Πυρήνας
Διατίθεται για: macOS Catalina 10.15.2
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2020-3872: Haakon Garseg Mørk της Cognite και Cim Stordal της Cognite
Πυρήνας
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2020-3853: Brandon Azad του Google Project Zero
Πυρήνας
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένη διαχείρισης της μνήμης.
CVE-2020-3836: Brandon Azad του Google Project Zero
Πυρήνας
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2020-3842: Ned Williamson σε συνεργασία με το Google Project Zero
CVE-2020-3871: Corellium
libxml2
Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2
Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένη επαλήθευση μεγέθους.
CVE-2020-3846: Ranier Vilela
Η καταχώριση ενημερώθηκε στις 3 Φεβρουαρίου 2020
libxpc
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Αποτέλεσμα: Η επεξεργασία μιας συμβολοσειράς με κακόβουλη δομή μπορεί να προκαλέσει αλλοίωση σωρού
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-3856: Ian Beer του Google Project Zero
libxpc
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-3829: Ian Beer του Google Project Zero
PackageKit
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αντικαταστήσει αυθαίρετα αρχεία
Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.
CVE-2020-3830: Csaba Fitzl (@theevilbit)
Ασφάλεια
Διατίθεται για: macOS Catalina 10.15.2
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.
CVE-2020-3854: Jakob Rieck (@0xdead10cc) και Maximilian Blochberger από το Security in Distributed Systems Group του University of Hamburg
Η καταχώριση ενημερώθηκε στις 3 Φεβρουαρίου 2020
sudo
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Αποτέλεσμα: Ορισμένες διαμορφώσεις ενδέχεται να επιτρέψουν σε έναν τοπικό εισβολέα την εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-18634: Apple
Σύστημα
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αντικαταστήσει αυθαίρετα αρχεία
Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.
CVE-2020-3855: Csaba Fitzl (@theevilbit)
Wi-Fi
Διατίθεται για: macOS Catalina 10.15.2
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2020-3839: s0ngsari του Theori and Lee του Seoul National University σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Wi-Fi
Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-3843: Ian Beer του Google Project Zero
Η καταχώριση ενημερώθηκε στις 13 Μαΐου 2020
wifivelocityd
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική δικαιωμάτων.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Επιπλέον αναγνώριση
Χώρος αποθήκευσης φωτογραφιών
Θα θέλαμε να ευχαριστήσουμε την Allison Husain του UC Berkeley για τη βοήθειά της.
Η καταχώριση ενημερώθηκε στις 19 Μαρτίου 2020
SharedFileList
Θα θέλαμε να ευχαριστήσουμε τον Patrick Wardle του Jamf για τη βοήθειά του.
Η καταχώριση προστέθηκε στις 4 Απριλίου 2020