Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Big Sur 11.1, Ενημέρωση ασφάλειας 2020-001 Catalina, Ενημέρωση ασφάλειας 2020-007 Mojave
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Big Sur 11.1, Ενημέρωση ασφάλειας 2020-001 Catalina, Ενημέρωση ασφάλειας 2020-007 Mojave.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
macOS Big Sur 11.1, Ενημέρωση ασφάλειας 2020-001 Catalina, Ενημέρωση ασφάλειας 2020-007 Mojave
AMD
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27914: Yu Wang της Didi Research America
CVE-2020-27915: Yu Wang της Didi Research America
AMD
Διατίθεται για: macOS Big Sur 11.0.1
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να εκτελέσει ανάγνωση της μνήμης πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27936: Yu Wang της Didi Research America
App Store
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.
CVE-2020-27903: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab
AppleGraphicsControl
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.
CVE-2020-27941: shrek_wzw
AppleMobileFileIntegrity
Διατίθεται για: macOS Big Sur 11.0.1
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις απορρήτου
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2020-29621: Wojciech Reguła (@_r3ggi) του SecuRing
Audio
Διατίθεται για: macOS Big Sur 11.0.1
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να αποκαλύψει περιορισμένη μνήμη
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-29610: Ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Audio
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27910: JunDong Xie και XingWei Lin του Ant Security Light-Year Lab
Audio
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-9943: JunDong Xie του Ant Security Light-Year Lab
Audio
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-9944: JunDong Xie του Ant Security Light-Year Lab
Audio
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27916: JunDong Xie του Ant Security Light-Year Lab
Bluetooth
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή αλλοίωση σωρού
Περιγραφή: Πολλές υπερχειλίσεις ακεραίων αντιμετωπίστηκαν με βελτιωμένη επικύρωση εισαγωγής.
CVE-2020-27906: Zuozhi Fan (@pattern_F_) του Ant Group Tianqiong Security Lab
CoreAudio
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-27948: JunDong Xie του Ant Security Light-Year Lab
CoreAudio
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27908: ανώνυμος που συνεργάζεται με το πρόγραμμα Zero Day Initiative της Trend Micro, JunDong Xie και XingWei Lin του Ant Security Light-Year Lab
CVE-2020-9960: JunDong Xie και Xingwei Lin του Ant Security Light-Year Lab
CoreAudio
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-10017: Francis που συνεργάζεται με το πρόγραμμα Zero Day Initiative της Trend Micro, JunDong Xie της Ant Security Light-Year Lab
CoreText
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-27922: Mickey Jin της Trend Micro
CUPS
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2020-10001: Niky
FontParser
Διατίθεται για: macOS Big Sur 11.0.1
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2020-27946: Mateusz Jurczyk του Google Project Zero
FontParser
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένη επαλήθευση μεγέθους.
CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)
FontParser
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27952: ανώνυμος ερευνητής, Mickey Jin και Junzhi Lu της Trend Micro
FontParser
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-9956: Mickey Jin και Junzhi Lu της ομάδας Trend Micro Mobile Security Research Team σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
FontParser
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στην επεξεργασία αρχείων γραμματοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27931: Apple
CVE-2020-27943: Mateusz Jurczyk του Google Project Zero
CVE-2020-27944: Mateusz Jurczyk του Google Project Zero
CVE-2020-29624: Mateusz Jurczyk του Google Project Zero
FontParser
Διατίθεται για: macOS Big Sur 11.0.1
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-29608: Xingwei Lin του Ant Security Light-Year Lab
Foundation
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να εκτελέσει ανάγνωση αυθαίρετων αρχείων
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-10002: James Hutchins
Graphics Drivers
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27947: ABC Research s.r.o. σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, Liu Long του Ant Security Light-Year Lab
Graphics Drivers
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-29612: ABC Research s.r.o. σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
HomeKit
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να τροποποιεί μη αναμενόμενα την κατάσταση εφαρμογής
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη μετάδοση ρυθμίσεων.
CVE-2020-9978: Luyi Xing, Dongfang Zhao και Xiaofeng Wang του Indiana University Bloomington, Yan Jia του Xidian University και του University of Chinese Academy of Sciences και Bin Yuan του HuaZhong University of Science and Technology
ImageIO
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2020-27939: Xingwei Lin του Ant Security Light-Year Lab
CVE-2020-29625: XingWei Lin του Ant Security Light-Year Lab
ImageIO
Διατίθεται για: macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-29615: Xingwei Lin του Ant Security Light-Year Lab
ImageIO
Διατίθεται για: macOS Big Sur 11.0.1
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-29616: zhouat σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
ImageIO
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27924: Lei Sun
CVE-2020-29618: XingWei Lin του Ant Security Light-Year Lab
ImageIO
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-29611: Alexandru-Vlad Niculae σε συνεργασία με το Google Project Zero
ImageIO
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Αποτέλεσμα: Η επεξεργασία μιας εικόνας με κακόβουλη δομή μπορεί να προκαλέσει αλλοίωση σωρού
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-29617: XingWei Lin του Ant Security Light-Year Lab
CVE-2020-29619: XingWei Lin του Ant Security Light-Year Lab
ImageIO
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27912: Xingwei Lin του Ant Security Light-Year Lab
CVE-2020-27923: Lei Sun
Image Processing
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27919: Hou JingYi (@hjy79425575) της Qihoo 360 CERT, Xingwei Lin του Ant Security Light-Year Lab
Intel Graphics Driver
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-10015: ABC Research s.r.o. σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2020-27897: Xiaolong Bai και Min (Spark) Zheng της Alibaba Inc. και Luyi Xing του Indiana University Bloomington
Intel Graphics Driver
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2020-27907: ABC Research s.r.o. σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, Liu Long του Ant Security Light-Year Lab
Kernel
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-10016: Alex Helie
Kernel
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.
CVE-2020-9967: Alex Plaskett (@alexjplaskett)
Kernel
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2020-9975: Tielei Wang του Pangu Lab
Kernel
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.
CVE-2020-27921: Linus Henze (pinauten.de)
Kernel
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να προκαλέσει μη αναμενόμενες αλλαγές στη μνήμη που ανήκει σε διεργασίες οι οποίες παρακολουθούνται από το DTrace
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους για την αποτροπή μη εξουσιοδοτημένων ενεργειών.
CVE-2020-27949: Steffen Klee (@_kleest) του TU Darmstadt, Secure Mobile Networking Lab
Kernel
Διατίθεται για: macOS Big Sur 11.0.1
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένα δικαιώματα.
CVE-2020-29620: Csaba Fitzl (@theevilbit) της Offensive Security
libxml2
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2020-27911: εντοπίστηκε από OSS-Fuzz
libxml2
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2020-27920: εντοπίστηκε από το OSS-Fuzz
libxml2
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2020-27926: εντοπίστηκε από το OSS-Fuzz
libxpc
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της
Περιγραφή: Ένα πρόβλημα με τον χειρισμό διαδρομών καταλόγων αντιμετωπίστηκε με βελτίωση της επικύρωσης διαδρομών.
CVE-2020-10014: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab
Logging
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του
Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2020-10010: Tommy Muir (@Muirey03)
Login Window
Διατίθεται για: macOS Big Sur 11.0.1
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να παρακάμψει την πολιτική ελέγχου ταυτότητας
Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2020-29633: Jewel Lambert της Original Spin, LLC.
Model I/O
Διατίθεται για: macOS Big Sur 11.0.1
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να προκαλέσει αλλοίωση σωρού
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2020-29614: ZhiWei Sun(@5n1p3r0010) από το Topsec Alpha Lab
Model I/O
Διατίθεται για: macOS Catalina 10.15.7
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-13520: Aleksandar Nikolic του Cisco Talos
Model I/O
Διατίθεται για: macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2020-9972: Aleksandar Nikolic του Cisco Talos
Model I/O
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-13524: Aleksandar Nikolic του Cisco Talos
Model I/O
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-10004: Aleksandar Nikolic του Cisco Talos
NSRemoteView
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.
CVE-2020-27901: Thijs Alkemade της Computest Research Division
Power Management
Διατίθεται για: macOS Big Sur 11.0.1
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-27938: Tim Michaud (@TimGMichaud) της Leviathan
Power Management
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-10007: singi@theori σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Quick Look
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου εγγράφου μπορεί να επιτρέψει την εισβολή με διατοποθεσιακή εκτέλεση σεναρίων
Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.
CVE-2020-10012: Heige της ομάδας KnownSec 404 Team (knownsec.com) και Bo Qu της Palo Alto Networks (paloaltonetworks.com)
Ruby
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να τροποποιήσει το σύστημα αρχείων
Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2020-27896: ένας ανώνυμος ερευνητής
System Preferences
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-10009: Thijs Alkemade της Computest Research Division
WebKit Storage
Διατίθεται για: macOS Big Sur 11.0.1
Αποτέλεσμα: Ένας χρήστης μπορεί να μην έχει τη δυνατότητα να διαγράψει πλήρως το ιστορικό αναζήτησης
Περιγραφή: Η επιλογή «Απαλοιφή ιστορικού και δεδομένων» δεν διέγραφε το ιστορικό. Το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαγραφής δεδομένων.
CVE-2020-29623: Simon Hunt της OvalTwo LTD
WebRTC
Διατίθεται για: macOS Big Sur 11.0.1
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2020-15969: ένας ανώνυμος ερευνητής
Wi-Fi
Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να παρακάμψει την προστασία διαχειριζόμενου πλαισίου (Managed Frame Protection)
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.
CVE-2020-27898: Stephan Marais του University of Johannesburg
Επιπλέον αναγνώριση
CoreAudio
Θα θέλαμε να ευχαριστήσουμε τους JunDong Xie και Xingwei Lin του Ant Security Light-Year Lab για τη βοήθειά τους.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.