Tietoja macOS Big Sur 11.0.1:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Big Sur 11.0.1:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Big Sur 11.0.1
AMD
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27914: Yu Wang (Didi Research America)
CVE-2020-27915: Yu Wang (Didi Research America)
App Store
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Appi saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2020-27903: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab)
Audio
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27910: JunDong Xie ja XingWei Lin (Ant Security Light-Year Lab)
Audio
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27916: JunDong Xie (Ant Security Light-Year Lab)
Audio
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haittaohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2020-9943: JunDong Xie (Ant Group Light-Year Security Lab)
Audio
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-9944: JunDong Xie (Ant Group Light-Year Security Lab)
Bluetooth
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai keon vioittumisen.
Kuvaus: Useita kokonaisluvun ylivuotoja ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27906: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)
CFNetwork Cache
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2020-27945: Zhuo Liang (Qihoo 360 Vulcan Team)
CoreAudio
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27908: JunDong Xie ja Xingwei Lin (Ant Security Light-Year Lab)
CVE-2020-27909: Nimetön yhteistyössä Trend Micron Zero Day Initiativen kanssa, JunDong Xie ja Xingwei Lin (Ant Security Light-Year Lab)
CVE-2020-9960: JunDong Xie ja Xingwei Lin (Ant Security Light-Year Lab)
CoreAudio
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-10017: Francis yhteistyössä Trend Micron Zero Day Initiativen kanssa, JunDong Xie (Ant Security Light-Year Lab)
CoreCapture
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-9949: Proteas
CoreGraphics
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen PDF-tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-9897: S.Y. (ZecOps Mobile XDR), nimetön tutkija
CoreGraphics
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-9883: nimetön tutkija, Mickey Jin (Trend Micro)
Crash Reporter
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan.
Kuvaus: Symbolisten linkkien polun validointilogiikassa oli ongelma. Ongelma on ratkaistu parantamalla polkujen puhdistamista.
CVE-2020-10003: Leviathanin Tim Michaud (@TimGMichaud)
CoreText
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-27922: Mickey Jin (Trend Micro)
CoreText
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2020-9999: Apple
Directory Utility
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haittaohjelma saattoi pystyä käyttämään yksityisiä tietoja.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-27937: Wojciech Reguła (@_r3ggi, SecuRing)
Disk Images
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-9965: Proteas
CVE-2020-9966: Proteas
Finder
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Käyttäjät eivät ehkä pystyneet poistamaan metadataa, josta selvisi, mistä tiedostot oli ladattu.
Kuvaus: Ongelma ratkaistiin lisäämällä käyttäjien hallintatoimintoja.
CVE-2020-27894: Manuel Trezza (Shuggr – shuggr.com)
FontParser
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen fontin käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-36615: Peter Nguyen Hoang Vu (@peternguyen14, STAR Labs)
FontParser
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-1790: Peter Nguyen Vu Hoang (STAR Labs)
FontParser
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen fontin käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2021-1775: Trend Micron Zero Day Initiativen parissa työskentelevät Mickey Jin ja Qi Sun (Trend Micro)
FontParser
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haittaohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-29629: nimetön tutkija
FontParser
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-27942: nimetön tutkija
FontParser
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Puskurin ylivuoto on korjattu parantamalla koon tarkistusta.
CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)
FontParser
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27952: nimetön tutkija, Mickey Jin ja Junzhi Lu (Trend Micro)
FontParser
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-9956: Trend Micron Zero Day Initiativen parissa työskentelevät Mickey Jin ja Junzhi Lu (Trend Micro Mobile Security Research Team)
FontParser
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.
CVE-2020-27931: Apple
FontParser
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen fontin käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Apple on tietoinen raporteista, joissa on todettu tämän ongelman olevan hyödynnettävissä vahingollisesti.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27930: Google Project Zero
FontParser
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-27927: Xingwei Lin (Ant Security Light-Year Lab)
FontParser
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2020-29639: Trend Micron Zero Day Initiativen parissa työskentelevät Mickey Jin ja Qi Sun (Trend Micro)
Foundation
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan mielivaltaisia tiedostoja.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-10002: James Hutchins
HomeKit
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä muuttamaan apin tilaa odottamattomasti.
Kuvaus: Ongelma on ratkaistu parantamalla asetusten levittämistä.
CVE-2020-9978: Luyi Xing, Dongfang Zhao ja Xiaofeng Wang (Indiana University Bloomington), Yan Jia (Xidian University ja University of Chinese Academy of Sciences) sekä Bin Yuan (HuaZhong University of Science and Technology)
ImageIO
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-9955: Mickey Jin (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27924: Lei Sun
ImageIO
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27912: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2020-27923: Lei Sun
ImageIO
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-9876: Mickey Jin (Trend Micro)
Intel Graphics Driver
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-10015: ABC Research s.r.o. yhteistyössä Trend Micron Zero Day Initiativen kanssa
CVE-2020-27897: Xiaolong Bai ja Min (Spark) Zheng (Alibaba Inc.) sekä Luyi Xing (Indiana University Bloomington)
Intel Graphics Driver
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2020-27907: ABC Research s.r.o. yhteistyössä Trend Micron Zero Day Initiativen kanssa, Liu Long (Ant Security Light-Year Lab)
Image Processing
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27919: Hou JingYi (@hjy79425575) (Qihoo 360 CERT), Xingwei Lin (Ant Security Light-Year Lab)
Kernel
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2020-9967: Alex Plaskett (@alexjplaskett)
Kernel
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-9975: Tielei Wang (Pangu Lab)
Kernel
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2020-27921: Linus Henze (pinauten.de)
Kernel
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Logiikkaongelma aiheutti muistin vioittumisen. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2020-27904: Zuozhi Fan (@pattern_F_) (Ant Group Tianqong Security Lab)
Kernel
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi kyetä lisäämään koodia aktiivisiin yhteyksiin VPN-tunnelissa
Kuvaus: Reititysongelma on ratkaistu parantamalla rajoituksia.
CVE-2019-14899: William J. Tolley, Beau Kujath ja Jedidiah R. Crandall
Kernel
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haittaohjelma saattoi pystyä paljastamaan kernel-muistin sisältöä. Apple on tietoinen raporteista, joissa on todettu tämän ongelman olevan hyödynnettävissä vahingollisesti.
Kuvaus: Muistin alustusongelma on korjattu.
CVE-2020-27950: Google Project Zero
Kernel
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2020-10016: Alex Helie
Kernel
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. Apple on tietoinen raporteista, joissa on todettu tämän ongelman olevan hyödynnettävissä vahingollisesti.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.
CVE-2020-27932: Google Project Zero
libxml2
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-27917: ongelman havaitsi OSS-Fuzz
CVE-2020-27920: ongelman havaitsi OSS-Fuzz
libxml2
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27911: ongelman havaitsi OSS-Fuzz
libxpc
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2020-9971: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab)
libxpc
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haittaohjelma saattoi pystyä poistumaan eristyksestään.
Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.
CVE-2020-10014: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab)
Logging
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2020-10010: Tommy Muir (@Muirey03)
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Etähyökkääjä saattoi pystyä muuttamaan apin tilaa odottamatta.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2020-9941: Fabian Ising (FH Münster University of Applied Sciences) ja Damian Poddebniak (FH Münster University of Applied Sciences)
Messages
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Paikallinen käyttäjä saattoi löytää käyttäjän poistetut viestit.
Kuvaus: Ongelma on ratkaistu parantamalla poistamista.
CVE-2020-9988: William Breuer (Alankomaat)
CVE-2020-9989: von Brunn Media
Model I/O
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-10011: Aleksandar Nikolic (Cisco Talos)
Model I/O
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-13524: Aleksandar Nikolic (Cisco Talos)
Model I/O
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-10004: Aleksandar Nikolic (Cisco Talos)
NetworkExtension
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-9996: Zhiwei Yuan (Trend Micro iCore Team), Junzhi Lu ja Mickey Jin (Trend Micro)
NSRemoteView
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2020-27901: Thijs Alkemade (Computest Research Division)
NSRemoteView
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallinen ohjelma saattoi pystyä esikatselemaan tiedostoja, joihin sillä ei ollut käyttöoikeutta.
Kuvaus: Tilannevedosten käsittelyssä oli ongelma. Ongelma ratkaistiin parantamalla käyttöoikeuslogiikkaa.
CVE-2020-27900: Thijs Alkemade (Computest Research Division)
PCRE
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: pcre:ssä esiintyi useita ongelmia.
Kuvaus: Useita ongelmia ratkaistiin päivittämällä versioon 8.44.
CVE-2019-20838
CVE-2020-14155
Power Management
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-10007: Trend Micron Zero Day Initiativen parissa työskentelevä singi@theori
python
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Tiettyyn alkuperään kuuluvat evästeet saatettiin lähettää toiseen alkuperään.
Kuvaus: Useita ongelmia on korjattu parantamalla logiikkaa.
CVE-2020-27896: nimetön tutkija
Quick Look
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallinen ohjelma saattoi saada selville tietokoneella olevien tiedostojen olemassaolon.
Kuvaus: Ongelma on ratkaistu parantamalla kuvakevälimuistien käsittelyä.
CVE-2020-9963: Csaba Fitzl (@theevilbit, Offensive Security)
Quick Look
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen dokumentin käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.
Kuvaus: Käyttöongelma on ratkaistu lisäämällä käyttörajoituksia.
CVE-2020-10012: Heige (KnownSec 404 Team, knownsec.com) ja Bo Qu (Palo Alto Networks, paloaltonetworks.com)
Ruby
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Etähyökkääjä saattoi pystyä muuttamaan tiedostojärjestelmää.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2020-27896: nimetön tutkija
Ruby
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Tiettyjen JSON-dokumenttien jäsentämisen aikana json gem voitiin pakottaa luomaan mielivaltaisia objekteja kohdejärjestelmään.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2020-10663: Jeremy Evans
Safari
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.
Kuvaus: URL-osoitteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.
CVE-2020-9945: Narendra Bhati (Suma Soft Pvt.) Ltd. Pune, Intia)
Safari
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallinen ohjelma saattoi pystyä määrittämään käyttäjän avoimet välilehdet Safarissa.
Kuvaus: Valtuutuksen vahvistuksessa oli tarkistusongelma. Ongelma on ratkaistu parantamalla prosessin valtuutuksen tarkistusta.
CVE-2020-9977: Josh Parnham (@joshparnham)
Safari
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.
Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-9942: nimetön tutkija, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora, The City School, PAF Chapter), Ruilin Yang (Tencent Security Xuanwu Lab), YoKo Kho (@YoKoAcc, PT Telekomunikasi Indonesia (Persero) Tbk), Zhiyang Zeng (@Wester, OPPO ZIWU Security Lab)
Safari
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.
Kuvaus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.
CVE-2020-9987: Rafay Baloch (cybercitadel.com, Cyber Citadel)
Sandbox
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Paikallinen appi saattoi kyetä luetteloimaan käyttäjän iCloud-dokumentit.
Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.
CVE-2021-1803: Csaba Fitzl (@theevilbit, Offensive Security)
Sandbox
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Paikallinen käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja.
Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.
CVE-2020-9969: Wojciech Reguła, SecuRing (wojciechregula.blog)
Screen Sharing
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Käyttäjä, jolla oli oikeudet näytön jakoon, saattoi pystyä näkemään toisen käyttäjän näytön.
Kuvaus: Näytön jakamisessa oli ongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2020-27893: pcsgomes
Siri
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi käyttää yhteystietoja lukitulta näytöltä.
Kuvaus: Lukittua näyttöä koskenut ongelma mahdollisti pääsyn lukitun laitteen yhteystietoihin. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2021-1755: Yuval Ron, Amichai Shulman ja Eli Biham (Technion – Israel Institute of Technology)
smbx
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan palveluneston.
Kuvaus: Resurssien loppumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-10005: Apple
SQLite
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2020-9991
SQLite
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.
Kuvaus: Tietojen paljastumisen ongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2020-9849
SQLite
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: SQLitessa esiintyi useita ongelmia.
Kuvaus: Useita ongelmia on korjattu parantamalla tarkistuksia.
CVE-2020-15358
SQLite
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallinen SQL-kysely saattoi aiheuttaa tietojen vioittumisen.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2020-13631
SQLite
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2020-13434
CVE-2020-13435
CVE-2020-9991
SQLite
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2020-13630
Symptom Framework
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-27899: 08Tc3wBB yhteistyössä ZecOps:n kanssa
System Preferences
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-10009: Thijs Alkemade (Computest Research Division)
TCC
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haittaohjelma saattoi pystyä käyttämään yksityisiä tietoja pääkäyttöoikeuksilla.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2020-10008: Wojciech Reguła, SecuRing (wojciechregula.blog)
WebKit
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-27918: Liu Long (Ant Security Light-Year Lab)
WebKit
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
Kuvaus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
CVE-2020-9947: Trend Micron Zero Day Initiativen parissa työskentelevä cc
CVE-2020-9950: Trend Micron Zero Day Initiativen parissa työskentelevä cc
Wi-Fi
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Hyökkääjä saattoi pystyä ohittamaan Managed Frame Protection -suojauksen.
Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla tilankäsittelyä.
CVE-2020-27898: Stephan Marais (University of Johannesburg)
XNU
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: Useita ongelmia on korjattu parantamalla logiikkaa.
CVE-2020-27935: Lior Halphon (@LIJI32)
Xsan
Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)
Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään rajoitettuja tiedostoja.
Kuvaus: Ongelma on ratkaistu parannetuilla oikeuksilla.
CVE-2020-10006: Wojciech Reguła (@_r3ggi, SecuRing)
Kiitokset
802.1X
Haluamme kiittää Kenana Dallea (Hamad bin Khalifa University) ja Ryan Rileya (Carnegie Mellon University, Qatar) heidän avustaan.
Audio
Haluamme kiittää JunDong Xieta ja Xingwei Liniä (Ant-Financial Light-Year Security Lab) sekä Dr. rer. nat. Marc Schoenefeldia heidän avustaan.
Bluetooth
Haluamme kiittää Andy Davisia (NCC Group) sekä Dennis Heinzea (@ttdennis, TU Darmstadt, Secure Mobile Networking Lab) heidän avustaan.
Clang
Haluamme kiittää Brandon Azadia (Google Project Zero) hänen avustaan.
Core Location
Haluamme kiittää Yiğit Can YILMAZia (@yilmazcanyigit) hänen avustaan.
Crash Reporter
Haluamme kiittää Artur Byszkoa (AFINE) hänen avustaan.
Directory Utility
Haluamme kiittää Wojciech Regułaa (@_r3ggi, SecuRing) hänen avustaan.
iAP
Haluamme kiittää NCC Groupin Andy Davisia hänen avustaan.
Kernel
Haluamme kiittää Brandon Azadia (Google Project Zero) ja Stephen Röttgeriä (Google) heidän avustaan.
libxml2
Haluamme kiittää nimetöntä tutkijaa hänen avustaan.
Login Window
Haluamme kiittää Rob Mortonia (Leidos) hänen avustaan.
Login Window
Haluamme kiittää Rob Mortonia (Leidos) hänen avustaan.
Photos Storage
Haluamme kiittää Paulos Yibeloa (LimeHats) hänen avustaan.
Quick Look
Haluamme kiittää Csaba Fitzlia (@theevilbit) ja Wojciech Regułaa (SecuRing, wojciechregula.blog) heidän avustaan.
Safari
Haluamme kiittää Gabriel Coronaa ja Narendra Bhatia (Suma Soft Pvt). Ltd. Pune, Intia) heidän avustaan.
Sandbox
Haluamme kiittää Saagar Jhata hänen avustaan.
Security
Haluamme kiittää Christian Starkjohannia (Objective Development Software GmbH) hänen avustaan.
System Preferences
Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) hänen avustaan.
System Preferences
Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) hänen avustaan.
WebKit
Maximilian Blochberger (Security in Distributed Systems Group, Hampurin yliopisto)
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.