Πληροφορίες για το περιεχόμενο ασφάλειας του macOS Catalina 10.15.6, της Ενημέρωσης ασφάλειας 2020-004 Mojave και της Ενημέρωσης ασφάλειας 2020-004 High Sierra

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Catalina 10.15.6, της Ενημέρωσης ασφάλειας 2020-004 Mojave και της Ενημέρωσης ασφάλειας 2020-004 High Sierra.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

macOS Catalina 10.15.6, Ενημέρωση ασφάλειας 2020-004 Mojave και Ενημέρωση ασφάλειας 2020-004 High Sierra

Κυκλοφόρησε στις 15 Ιουλίου 2020

AMD

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9927: Lilang Wu σε συνεργασία με το πρόγραμμα Zero Day Initiative της TrendMicro

Η καταχώριση ενημερώθηκε στις 5 Αυγούστου 2020

Ήχος

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9884: Yu Zhou (@yuzhou6666) της 小鸡帮 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2020-9889: Ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, JunDong Xie και XingWei Lin του Ant-Financial Light-Year Security Lab

Η καταχώριση ενημερώθηκε στις 5 Αυγούστου 2020

Ήχος

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9888: JunDong Xie και XingWei Lin του Ant-Financial Light-Year Security Lab

CVE-2020-9890: JunDong Xie και XingWei Lin του Ant-Financial Light-Year Security Lab

CVE-2020-9891: JunDong Xie και XingWei Lin του Ant-Financial Light-Year Security Lab

Η καταχώριση ενημερώθηκε στις 5 Αυγούστου 2020

Bluetooth

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9928: Yu Wang της Didi Research America

Η καταχώριση προστέθηκε στις 5 Αυγούστου 2020

Bluetooth

Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να εκτελέσει ανάγνωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9929: Yu Wang της Didi Research America

Η καταχώριση προστέθηκε στις 5 Αυγούστου 2020

Clang

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: To clang μπορεί να δημιουργήσει κώδικα μηχανής που δεν εφαρμόζει σωστά τους κώδικες Ελέγχου ταυτότητας δείκτη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2020-9870: Samuel Groß του Google Project Zero

CoreAudio

Διατίθεται για: macOS High Sierra 10.13.6

Αποτέλεσμα: Ένα πρόβλημα υπερχείλισης buffer μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.

CVE-2020-9866: Yu Zhou της 小鸡帮 και Jundong Xie του Ant-Financial Light-Year Security Lab

Core Bluetooth

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να προκαλέσει έναν απρόσμενο τερματισμό εφαρμογής

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9869: Patrick Wardle της Jamf

Η καταχώριση προστέθηκε στις 5 Αυγούστου 2020

CoreCapture

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-9949: Proteas

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

CoreFoundation

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να προβάλλει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό των μεταβλητών του περιβάλλοντος. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)

Η καταχώριση ενημερώθηκε στις 5 Αυγούστου 2020

CoreGraphics

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9883: ένας ανώνυμος ερευνητής, Mickey Jin της Trend Micro

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020 και ενημερώθηκε στις 12 Νοεμβρίου 2020

Εργαλείο αναφοράς σφαλμάτων

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2020-9865: Zhuo Liang της ομάδας Qihoo 360 Vulcan σε συνεργασία με το 360 BugCloud

Εργαλείο αναφοράς σφαλμάτων

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

Περιγραφή: Υπήρχε πρόβλημα στη λογική επικύρωσης διαδρομών για τους συμβολικούς συνδέσμους. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη εξυγίανση διαδρομών.

CVE-2020-9900: Zhongcheng Li (CK01) της ομάδας Zero-dayits της Legendsec του ομίλου Qi'anxin Group

Η καταχώριση προστέθηκε στις 5 Αυγούστου 2020

FontParser

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9980: Xingwei Lin του Ant Security Light-Year Lab

Η καταχώριση προστέθηκε στις 21 Σεπτεμβρίου 2020 και ενημερώθηκε στις 19 Οκτωβρίου 2020

Προγράμματα οδήγησης γραφικών

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9799: ABC Research s.r.o.

Η καταχώριση ενημερώθηκε στις Παρασκευή, 24 Ιουλίου 2020

Heimdal

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη προστασία δεδομένων.

CVE-2020-9913: Cody Thomas της SpecterOps

ImageIO

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-27933: Xingwei Lin του Ant-Financial Light-Year Security Lab

Η καταχώριση προστέθηκε στις 16 Μαρτίου 2021

ImageIO

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Υπήρχαν πολλαπλά προβλήματα υπερχείλισης buffer στο openEXR

Περιγραφή: Πολλά προβλήματα στο openEXR αντιμετωπίστηκαν με βελτιωμένους ελέγχους.

CVE-2020-11758: Xingwei Lin του Ant-Financial Light-Year Security Lab

CVE-2020-11759: Xingwei Lin του Ant-Financial Light-Year Security Lab

CVE-2020-11760: Xingwei Lin του Ant-Financial Light-Year Security Lab

CVE-2020-11761: Xingwei Lin του Ant-Financial Light-Year Security Lab

CVE-2020-11762: Xingwei Lin του Ant-Financial Light-Year Security Lab

CVE-2020-11763: Xingwei Lin του Ant-Financial Light-Year Security Lab

CVE-2020-11764: Xingwei Lin του Ant-Financial Light-Year Security Lab

CVE-2020-11765: Xingwei Lin του Ant-Financial Light-Year Security Lab

Η καταχώριση προστέθηκε στις 8 Σεπτεμβρίου 2020

ImageIO

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9871: Xingwei Lin του Ant-Financial Light-Year Security Lab

CVE-2020-9872: Xingwei Lin του Ant-Financial Light-Year Security Lab

CVE-2020-9874: Xingwei Lin του Ant-Financial Light-Year Security Lab

CVE-2020-9879: Xingwei Lin του Ant-Financial Light-Year Security Lab

CVE-2020-9936: Mickey Jin της Trend Micro

CVE-2020-9937: Xingwei Lin του Ant-Financial Light-Year Security Lab

Η καταχώριση ενημερώθηκε στις 5 Αυγούστου 2020

ImageIO

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9919: Mickey Jin της Trend Micro

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

ImageIO

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9876: Mickey Jin της Trend Micro

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

ImageIO

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9873: Xingwei Lin του Ant-Financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin του Ant-Financial Light-Year Security Lab

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

ImageIO

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9877: Xingwei Lin του Ant-Financial Light-Year Security Lab

Η καταχώριση προστέθηκε στις 5 Αυγούστου 2020

ImageIO

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2020-9875: Mickey Jin της Trend Micro

Η καταχώριση προστέθηκε στις 5 Αυγούστου 2020

ImageIO

Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9873: Xingwei Lin του Ant-Financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin του Ant-Financial Light-Year Security Lab

CVE-2020-9984: ένας ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 21 Σεπτεμβρίου 2020

Επεξεργασία εικόνας

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου JPEG μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9887: Mickey Jin της Trend Micro

Η καταχώριση προστέθηκε στις 8 Σεπτεμβρίου 2020

Πρόγραμμα οδήγησης γραφικών Intel

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να εκτελέσει ανάγνωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9908: Junzhi Lu(@pwn0rz) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020 και ενημερώθηκε στις 31 Αυγούστου 2020

Πρόγραμμα οδήγησης γραφικών Intel

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2020-9990: ABC Research s.r.l. σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, ABC Research s.r.o. σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 21 Σεπτεμβρίου 2020

Πρόγραμμα οδήγησης γραφικών Intel

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9921: ABC Research s.r.o. σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 5 Αυγούστου 2020

Πυρήνας

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να εισέλθει σε ενεργές συνδέσεις εντός ενός δικτύου VPN

Περιγραφή: Ένα πρόβλημα δρομολόγησης αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2019-14899: William J. Tolley, Beau Kujath και Jedidiah R. Crandall

Πυρήνας

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-9904: Tielei Wang της Pangu Lab

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

Πυρήνας

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-9924: Matt DeVore της Google

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

Πυρήνας

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη διαχείριση κατάστασης.

CVE-2020-9892: Andy Nguyen της Google

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

Πυρήνας

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9863: Xinru Chi του Pangu Lab

Η καταχώριση ενημερώθηκε στις 5 Αυγούστου 2020

Πυρήνας

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9902: Xinru Chi και Tielei Wang του Pangu Lab

Η καταχώριση προστέθηκε στις 5 Αυγούστου 2020

Πυρήνας

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.

CVE-2020-9905: Raz Mashat (@RazMashat) της ZecOps

Η καταχώριση προστέθηκε στις 5 Αυγούστου 2020

Πυρήνας

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να αποκαλύψει περιορισμένη μνήμη

Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2020-9997: Catalin Valeriu Lita της SecurityScorecard

Η καταχώριση προστέθηκε στις 21 Σεπτεμβρίου 2020

libxml2

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-9926: Εντοπίστηκε από το OSS-Fuzz

Η καταχώριση προστέθηκε στις 16 Μαρτίου 2021

libxpc

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αντικαταστήσει αυθαίρετα αρχεία

Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2020-9994: Apple

Η καταχώριση προστέθηκε στις 21 Σεπτεμβρίου 2020

Παράθυρο σύνδεσης

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Ένας χρήστης ενδέχεται να έχει συνδεθεί απρόσμενα στον λογαριασμό άλλου χρήστη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-9935: ένας ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 21 Σεπτεμβρίου 2020

Mail

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2019-19906

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020 και ενημερώθηκε στις 8 Σεπτεμβρίου 2020

Mail

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να αντικαταστήσει αυθαίρετα αρχεία αλληλογραφίας

Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2020-9920: YongYue Wang AKA BigChan της ομάδας Hillstone Networks AF

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

Mail

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου email μπορεί να οδηγήσει σε εγγραφή αυθαίρετων αρχείων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-9922: Mikko Kenttälä (@Turmio_) της SensorFu

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Μηνύματα

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Ένας χρήστης που αφαιρείται από μια ομάδα iMessage θα μπορούσε να συμμετέχει ξανά

Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό των tapback στο iMessage. Το πρόβλημα επιλύθηκε με πρόσθετη επαλήθευση.

CVE-2020-9885: ένας ανώνυμος ερευνητής, Suryansh Mansharamani, του WWP High School North (medium.com/@suryanshmansha)

Μοντέλο I/O

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9878: Holger Fuhrmannek της Deutsche Telekom Security

Μοντέλο I/O

Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.

CVE-2020-9880: Holger Fuhrmannek της Deutsche Telekom Security

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020 και ενημερώθηκε στις 21 Σεπτεμβρίου 2020

Μοντέλο I/O

Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9878: Aleksandar Nikolic της Cisco Talos, Holger Fuhrmannek της Deutsche Telekom Security

CVE-2020-9881: Holger Fuhrmannek της Deutsche Telekom Security

CVE-2020-9882: Holger Fuhrmannek της Deutsche Telekom Security

CVE-2020-9940: Holger Fuhrmannek της Deutsche Telekom Security

CVE-2020-9985: Holger Fuhrmannek της Deutsche Telekom Security

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020 και ενημερώθηκε στις 21 Σεπτεμβρίου 2020

OpenLDAP

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2020-12243

Η καταχώριση προστέθηκε στις 21 Σεπτεμβρίου 2020

Perl

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Μια υπερχείλιση ακεραίων στο πρόγραμμα μεταγλώττισης κανονικών παραστάσεων Perl μπορεί να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εισαγάγει οδηγίες στη μεταγλωττισμένη μορφή μιας κανονικής παράστασης

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2020-10878: Hugo van der Sanden και Slaven Rezic

Η καταχώριση προστέθηκε στις 16 Μαρτίου 2021

Perl

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2020-12723: Sergey Aleynikov

Η καταχώριση προστέθηκε στις 16 Μαρτίου 2021

rsync

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να αντικαταστήσει υπάρχοντα αρχεία

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.

CVE-2014-9512: gaojianfeng

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

Sandbox

Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να εκτελέσει ανάγνωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9930: Zhiyi Zhang από την ομάδα Codesafe Team του Legendsec at Qi'anxin Group

Η καταχώριση προστέθηκε στις Τρίτη, 15 Δεκεμβρίου 2020

Sandbox

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να φορτώσει επεκτάσεις πυρήνα χωρίς υπογραφή

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2020-9939: @jinmo123, @setuid0x0_ και @insu_yun_en του @SSLab_Gatech σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 5 Αυγούστου 2020

Ασφάλεια

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2020-9864: Alexander Holodny

Ασφάλεια

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να μιμηθεί έναν αξιόπιστο ιστότοπο χρησιμοποιώντας υλικό κοινόχρηστου κλειδιού για ένα πιστοποιητικό που προστέθηκε από διαχειριστή

Περιγραφή: Ένα πρόβλημα επαλήθευσης πιστοποιητικών υπήρχε όταν ο διαχειριστής επεξεργασίας πρόσθεσε πιστοποιητικά. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση πιστοποιητικών.

CVE-2020-9868: Brian Wolff της Asana

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

Ασφάλεια

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2020-9854: Ilias Morad (A2nkF)

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

sysdiagnose

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

Περιγραφή: Υπήρχε πρόβλημα στη λογική επικύρωσης διαδρομών για τους συμβολικούς συνδέσμους. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη εξυγίανση διαδρομών.

CVE-2020-9901: Tim Michaud (@TimGMichaud) της Leviathan, Zhongcheng Li (CK01) της ομάδας Zero-dayits της Legendsec του ομίλου Qi'anxin Group

Η καταχώριση προστέθηκε στις 5 Αυγούστου 2020 και ενημερώθηκε στις 31 Αυγούστου 2020

Vim

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2019-20807: Guilherme de Almeida Suckevicz

WebDAV

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένα δικαιώματα.

CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)

Η καταχώριση προστέθηκε στις 8 Σεπτεμβρίου 2020

Wi-Fi

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9918: Jianjun Dai του 360 Alpha Lab σε συνεργασία με το 360 BugCloud (bugcloud.360.cn)

Wi-Fi

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9899: Yu Wang της Didi Research America

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

Wi-Fi

Διατίθεται για: macOS Catalina 10.15.5

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9906: Ian Beer του Google Project Zero

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

Επιπλέον αναγνώριση

CoreFoundation

Θα θέλαμε να ευχαριστήσουμε τον Bobby Pelletier για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 8 Σεπτεμβρίου 2020

ImageIO

Θα θέλαμε να ευχαριστήσουμε τον Xingwei Lin του Ant-Financial Light-Year Security Lab για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 21 Σεπτεμβρίου 2020

Siri

Θα θέλαμε να ευχαριστήσουμε τους Yuval Ron, Amichai Shulman και Eli Biham από το Technion – Israel Institute of Technology για τη βοήθειά τους.

Η καταχώριση προστέθηκε στις 5 Αυγούστου 2020

Ήχος USB

Θα θέλαμε να ευχαριστήσουμε τον Andy Davis της NCC Group για τη βοήθειά του.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: