Tietoja macOS Big Sur 11.0.1:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Big Sur 11.0.1:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

macOS Big Sur 11.0.1

Julkaistu 12.11.2020

AMD

Saatavuus: Mac Pro (2013 ja uudemmat), MacBook Air (2013 ja uudemmat), MacBook Pro (loppuvuosi 2013 ja uudemmat), Mac mini (2014 ja uudemmat), iMac (2014 ja uudemmat), MacBook (2015 ja uudemmat), iMac Pro (kaikki mallit)

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-27914: Yu Wang (Didi Research America)

CVE-2020-27915: Yu Wang (Didi Research America)

Kohta lisätty 14.12.2020

App Store

Vaikutus: Appi saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2020-27903: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab)

Audio

Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-27910: JunDong Xie ja XingWei Lin (Ant Security Light-Year Lab)

Audio

Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-27916: JunDong Xie (Ant Security Light-Year Lab)

Audio

Vaikutus: Haittaohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.

CVE-2020-9943: JunDong Xie (Ant Group Light-Year Security Lab)

Audio

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-9944: JunDong Xie (Ant Group Light-Year Security Lab)

Bluetooth

Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai keon vioittumisen.

Kuvaus: Useita kokonaisluvun ylivuotoja ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-27906: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)

CFNetwork Cache

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2020-27945: Zhuo Liang (Qihoo 360 Vulcan Team)

Kohta lisätty 16.3.2021

CoreAudio

Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-27908: JunDong Xie ja Xingwei Lin (Ant Security Light-Year Lab)

CVE-2020-27909: Nimetön yhteistyössä Trend Micron Zero Day Initiativen kanssa, JunDong Xie ja Xingwei Lin (Ant Security Light-Year Lab)

CVE-2020-9960: JunDong Xie ja Xingwei Lin (Ant Security Light-Year Lab)

Kohta lisätty 14.12.2020

CoreAudio

Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-10017: Francis yhteistyössä Trend Micron Zero Day Initiativen kanssa, JunDong Xie (Ant Security Light-Year Lab)

CoreCapture

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2020-9949: Proteas

CoreGraphics

Vaikutus: Haitallisen PDF-tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9897: S.Y. (ZecOps Mobile XDR), nimetön tutkija

Kohta lisätty 25.10.2021

CoreGraphics

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9883: nimetön tutkija, Mickey Jin (Trend Micro)

Crash Reporter

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan.

Kuvaus: Symbolisten linkkien polun validointilogiikassa oli ongelma. Ongelma on ratkaistu parantamalla polkujen puhdistamista.

CVE-2020-10003: Leviathanin Tim Michaud (@TimGMichaud)

CoreText

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2020-27922: Mickey Jin (Trend Micro)

Kohta lisätty 14.12.2020

CoreText

Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2020-9999: Apple

Kohta päivitetty 14.12.2020

Directory Utility

Vaikutus: Haittaohjelma saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2020-27937: Wojciech Reguła (@_r3ggi, SecuRing)

Kohta lisätty 16.3.2021

Disk Images

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Finder

Vaikutus: Käyttäjät eivät ehkä pystyneet poistamaan metadataa, josta selvisi, mistä tiedostot oli ladattu.

Kuvaus: Ongelma ratkaistiin lisäämällä käyttäjien hallintatoimintoja.

CVE-2020-27894: Manuel Trezza (Shuggr – shuggr.com)

FontParser

Vaikutus: Haitallisen fontin käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-36615: Peter Nguyen Hoang Vu (@peternguyen14, STAR Labs)

Kohta lisätty 11.5.2023

FontParser

Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2021-1790: Peter Nguyen Vu Hoang (STAR Labs)

Kohta lisätty 25.5.2022

FontParser

Vaikutus: Haitallisen fontin käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen

Kuvaus: Tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2021-1775: Trend Micron Zero Day Initiativen parissa työskentelevät Mickey Jin ja Qi Sun (Trend Micro)

Kohta lisätty 25.10.2021

FontParser

Vaikutus: Haittaohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-29629: nimetön tutkija

Kohta lisätty 25.10.2021

FontParser

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2020-27942: nimetön tutkija

Kohta lisätty 25.10.2021

FontParser

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Puskurin ylivuoto on korjattu parantamalla koon tarkistusta.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Kohta lisätty 14.12.2020

FontParser

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-27952: nimetön tutkija, Mickey Jin ja Junzhi Lu (Trend Micro)

Kohta lisätty 14.12.2020

FontParser

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9956: Trend Micron Zero Day Initiativen parissa työskentelevät Mickey Jin ja Junzhi Lu (Trend Micro Mobile Security Research Team)

Kohta lisätty 14.12.2020

FontParser

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.

CVE-2020-27931: Apple

Kohta lisätty 14.12.2020

FontParser

Vaikutus: Haitallisen fontin käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Apple on tietoinen raporteista, joissa on todettu tämän ongelman olevan hyödynnettävissä vahingollisesti.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-27930: Google Project Zero

FontParser

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-27927: Xingwei Lin (Ant Security Light-Year Lab)

FontParser

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.

CVE-2020-29639: Trend Micron Zero Day Initiativen parissa työskentelevät Mickey Jin ja Qi Sun (Trend Micro)

Kohta lisätty 21.7.2021

Foundation

Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan mielivaltaisia tiedostoja.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2020-10002: James Hutchins

HomeKit

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä muuttamaan apin tilaa odottamattomasti.

Kuvaus: Ongelma on ratkaistu parantamalla asetusten levittämistä.

CVE-2020-9978: Luyi Xing, Dongfang Zhao ja Xiaofeng Wang (Indiana University Bloomington), Yan Jia (Xidian University ja University of Chinese Academy of Sciences) sekä Bin Yuan (HuaZhong University of Science and Technology)

Kohta lisätty 14.12.2020

ImageIO

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-9955: Mickey Jin (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)

Kohta lisätty 14.12.2020

ImageIO

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-27924: Lei Sun

Kohta lisätty 14.12.2020

ImageIO

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-27912: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2020-27923: Lei Sun

Kohta päivitetty 14.12.2020

ImageIO

Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-9876: Mickey Jin (Trend Micro)

Intel Graphics Driver

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-10015: ABC Research s.r.o. yhteistyössä Trend Micron Zero Day Initiativen kanssa

CVE-2020-27897: Xiaolong Bai ja Min (Spark) Zheng (Alibaba Inc.) sekä Luyi Xing (Indiana University Bloomington)

Kohta lisätty 14.12.2020

Intel Graphics Driver

Vaikutus: Sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-27907: ABC Research s.r.o. yhteistyössä Trend Micron Zero Day Initiativen kanssa, Liu Long (Ant Security Light-Year Lab)

Kohta lisätty 14.12.2020, päivitetty 16.3.2021

Image Processing

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-27919: Hou JingYi (@hjy79425575) (Qihoo 360 CERT), Xingwei Lin (Ant Security Light-Year Lab)

Kohta lisätty 14.12.2020

Kernel

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Kohta lisätty 14.12.2020

Kernel

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2020-9975: Tielei Wang (Pangu Lab)

Kohta lisätty 14.12.2020

Kernel

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2020-27921: Linus Henze (pinauten.de)

Kohta lisätty 14.12.2020

Kernel

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Logiikkaongelma aiheutti muistin vioittumisen. Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2020-27904: Zuozhi Fan (@pattern_F_) (Ant Group Tianqong Security Lab)

Kernel

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi kyetä lisäämään koodia aktiivisiin yhteyksiin VPN-tunnelissa

Kuvaus: Reititysongelma on ratkaistu parantamalla rajoituksia.

CVE-2019-14899: William J. Tolley, Beau Kujath ja Jedidiah R. Crandall

Kernel

Vaikutus: Haittaohjelma saattoi pystyä paljastamaan kernel-muistin sisältöä. Apple on tietoinen raporteista, joissa on todettu tämän ongelman olevan hyödynnettävissä vahingollisesti.

Kuvaus: Muistin alustusongelma on korjattu.

CVE-2020-27950: Google Project Zero

Kernel

Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

Vaikutus: sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2020-10016: Alex Helie

Kernel

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. Apple on tietoinen raporteista, joissa on todettu tämän ongelman olevan hyödynnettävissä vahingollisesti.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.

CVE-2020-27932: Google Project Zero

libxml2

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2020-27917: ongelman havaitsi OSS-Fuzz

CVE-2020-27920: ongelman havaitsi OSS-Fuzz

Kohta päivitetty 14.12.2020

libxml2

Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-27911: ongelman havaitsi OSS-Fuzz

libxpc

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2020-9971: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab)

Kohta lisätty 14.12.2020

libxpc

Vaikutus: Haittaohjelma saattoi pystyä poistumaan eristyksestään.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2020-10014: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab)

Logging

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2020-10010: Tommy Muir (@Muirey03)

Mail

Vaikutus: Etähyökkääjä saattoi pystyä muuttamaan apin tilaa odottamatta.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2020-9941: Fabian Ising (FH Münster University of Applied Sciences) ja Damian Poddebniak (FH Münster University of Applied Sciences)

Messages

Vaikutus: Paikallinen käyttäjä saattoi löytää käyttäjän poistetut viestit.

Kuvaus: Ongelma on ratkaistu parantamalla poistamista.

CVE-2020-9988: William Breuer (Alankomaat)

CVE-2020-9989: von Brunn Media

Model I/O

Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-10011: Aleksandar Nikolic (Cisco Talos)

Kohta lisätty 14.12.2020

Model I/O

Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-13524: Aleksandar Nikolic (Cisco Talos)

Model I/O

Vaikutus: Haitallisen tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2020-10004: Aleksandar Nikolic (Cisco Talos)

NetworkExtension

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2020-9996: Zhiwei Yuan (Trend Micro iCore Team), Junzhi Lu ja Mickey Jin (Trend Micro)

NSRemoteView

Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2020-27901: Thijs Alkemade (Computest Research Division)

Kohta lisätty 14.12.2020

NSRemoteView

Vaikutus: Haitallinen ohjelma saattoi pystyä esikatselemaan tiedostoja, joihin sillä ei ollut käyttöoikeutta.

Kuvaus: Tilannevedosten käsittelyssä oli ongelma. Ongelma ratkaistiin parantamalla käyttöoikeuslogiikkaa.

CVE-2020-27900: Thijs Alkemade (Computest Research Division)

PCRE

Vaikutus: pcre:ssä esiintyi useita ongelmia.

Kuvaus: Useita ongelmia ratkaistiin päivittämällä versioon 8.44.

CVE-2019-20838

CVE-2020-14155

Power Management

Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2020-10007: Trend Micron Zero Day Initiativen parissa työskentelevä singi@theori

python

Vaikutus: Tiettyyn alkuperään kuuluvat evästeet saatettiin lähettää toiseen alkuperään.

Kuvaus: Useita ongelmia on korjattu parantamalla logiikkaa.

CVE-2020-27896: nimetön tutkija

Quick Look

Vaikutus: Haitallinen ohjelma saattoi saada selville tietokoneella olevien tiedostojen olemassaolon.

Kuvaus: Ongelma on ratkaistu parantamalla kuvakevälimuistien käsittelyä.

CVE-2020-9963: Csaba Fitzl (@theevilbit, Offensive Security)

Quick Look

Vaikutus: Haitallisen dokumentin käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.

Kuvaus: Käyttöongelma on ratkaistu lisäämällä käyttörajoituksia.

CVE-2020-10012: Heige (KnownSec 404 Team, knownsec.com) ja Bo Qu (Palo Alto Networks, paloaltonetworks.com)

Kohta päivitetty 16.3.2021

Ruby

Vaikutus: Etähyökkääjä saattoi pystyä muuttamaan tiedostojärjestelmää.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2020-27896: nimetön tutkija

Ruby

Vaikutus: Tiettyjen JSON-dokumenttien jäsentämisen aikana json gem voitiin pakottaa luomaan mielivaltaisia objekteja kohdejärjestelmään.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2020-10663: Jeremy Evans

Safari

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: URL-osoitteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.

CVE-2020-9945: Narendra Bhati (Suma Soft Pvt.) Ltd. Pune, Intia)

Safari

Vaikutus: Haitallinen ohjelma saattoi pystyä määrittämään käyttäjän avoimet välilehdet Safarissa.

Kuvaus: Valtuutuksen vahvistuksessa oli tarkistusongelma. Ongelma on ratkaistu parantamalla prosessin valtuutuksen tarkistusta.

CVE-2020-9977: Josh Parnham (@joshparnham)

Safari

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

CVE-2020-9942: nimetön tutkija, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora, The City School, PAF Chapter), Ruilin Yang (Tencent Security Xuanwu Lab), YoKo Kho (@YoKoAcc, PT Telekomunikasi Indonesia (Persero) Tbk), Zhiyang Zeng (@Wester, OPPO ZIWU Security Lab)

Safari

Vaikutus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

Kuvaus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

CVE-2020-9987: Rafay Baloch (cybercitadel.com, Cyber Citadel)

Kohta lisätty 21.7.2021

Sandbox

Vaikutus: Paikallinen appi saattoi kyetä luetteloimaan käyttäjän iCloud-dokumentit.

Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.

CVE-2021-1803: Csaba Fitzl (@theevilbit, Offensive Security)

Kohta lisätty 16.3.2021

Sandbox

Vaikutus: Paikallinen käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja.

Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2020-9969: Wojciech Reguła, SecuRing (wojciechregula.blog)

Screen Sharing

Vaikutus: Käyttäjä, jolla oli oikeudet näytön jakoon, saattoi pystyä näkemään toisen käyttäjän näytön.

Kuvaus: Näytön jakamisessa oli ongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2020-27893: pcsgomes

Kohta lisätty 16.3.2021

Siri

Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi käyttää yhteystietoja lukitulta näytöltä.

Kuvaus: Lukittua näyttöä koskenut ongelma mahdollisti pääsyn lukitun laitteen yhteystietoihin. Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2021-1755: Yuval Ron, Amichai Shulman ja Eli Biham (Technion – Israel Institute of Technology)

Kohta lisätty 16.3.2021

smbx

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan palveluneston.

Kuvaus: Resurssien loppumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-10005: Apple

Kohta lisätty 25.10.2021

SQLite

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2020-9991

SQLite

Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.

Kuvaus: Tietojen paljastumisen ongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2020-9849

SQLite

Vaikutus: SQLitessa esiintyi useita ongelmia.

Kuvaus: Useita ongelmia on korjattu parantamalla tarkistuksia.

CVE-2020-15358

SQLite

Vaikutus: Haitallinen SQL-kysely saattoi aiheuttaa tietojen vioittumisen.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2020-13631

SQLite

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

SQLite

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2020-13630

Symptom Framework

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2020-27899: 08Tc3wBB yhteistyössä ZecOps:n kanssa

Kohta lisätty 14.12.2020

System Preferences

Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2020-10009: Thijs Alkemade (Computest Research Division)

TCC

Vaikutus: Haittaohjelma saattoi pystyä käyttämään yksityisiä tietoja pääkäyttöoikeuksilla.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2020-10008: Wojciech Reguła, SecuRing (wojciechregula.blog)

Kohta lisätty 14.12.2020

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2020-27918: Liu Long (Ant Security Light-Year Lab)

Kohta päivitetty 14.12.2020

WebKit

Vaikutus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

Kuvaus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

CVE-2020-9947: Trend Micron Zero Day Initiativen parissa työskentelevä cc

CVE-2020-9950: Trend Micron Zero Day Initiativen parissa työskentelevä cc

Kohta lisätty 21.7.2021

Wi-Fi

Vaikutus: Hyökkääjä saattoi pystyä ohittamaan Managed Frame Protection -suojauksen.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla tilankäsittelyä.

CVE-2020-27898: Stephan Marais (University of Johannesburg)

XNU

Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: Useita ongelmia on korjattu parantamalla logiikkaa.

CVE-2020-27935: Lior Halphon (@LIJI32)

Kohta lisätty 17.12.2020

Xsan

Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään rajoitettuja tiedostoja.

Kuvaus: Ongelma on ratkaistu parannetuilla oikeuksilla.

CVE-2020-10006: Wojciech Reguła (@_r3ggi, SecuRing)

Kiitokset

802.1X

Haluamme kiittää Kenana Dallea (Hamad bin Khalifa University) ja Ryan Rileya (Carnegie Mellon University, Qatar) heidän avustaan.

Kohta lisätty 14.12.2020

Audio

Haluamme kiittää JunDong Xieta ja Xingwei Liniä (Ant-Financial Light-Year Security Lab) sekä Dr. rer. nat. Marc Schoenefeldia heidän avustaan.

Kohta päivitetty 16.3.2021

Bluetooth

Haluamme kiittää Andy Davisia (NCC Group) sekä Dennis Heinzea (@ttdennis, TU Darmstadt, Secure Mobile Networking Lab) heidän avustaan.

Kohta päivitetty 14.12.2020

Clang

Haluamme kiittää Brandon Azadia (Google Project Zero) hänen avustaan.

Core Location

Haluamme kiittää Yiğit Can YILMAZia (@yilmazcanyigit) hänen avustaan.

Crash Reporter

Haluamme kiittää Artur Byszkoa (AFINE) hänen avustaan.

Kohta lisätty 14.12.2020

Directory Utility

Haluamme kiittää Wojciech Regułaa (@_r3ggi, SecuRing) hänen avustaan.

iAP

Haluamme kiittää NCC Groupin Andy Davisia hänen avustaan.

Kernel

Haluamme kiittää Brandon Azadia (Google Project Zero) ja Stephen Röttgeriä (Google) heidän avustaan.

libxml2

Haluamme kiittää nimetöntä tutkijaa hänen avustaan.

Kohta lisätty 14.12.2020

Login Window

Haluamme kiittää Rob Mortonia (Leidos) hänen avustaan.

Kohta lisätty 16.3.2021

Login Window

Haluamme kiittää Rob Mortonia (Leidos) hänen avustaan.

Photos Storage

Haluamme kiittää Paulos Yibeloa (LimeHats) hänen avustaan.

Quick Look

Haluamme kiittää Csaba Fitzlia (@theevilbit) ja Wojciech Regułaa (SecuRing, wojciechregula.blog) heidän avustaan.

Safari

Haluamme kiittää Gabriel Coronaa ja Narendra Bhatia (Suma Soft Pvt). Ltd. Pune, Intia) heidän avustaan.

Sandbox

Haluamme kiittää Saagar Jhata hänen avustaan.

Kohta lisätty 11.5.2023

Security

Haluamme kiittää Christian Starkjohannia (Objective Development Software GmbH) hänen avustaan.

System Preferences

Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) hänen avustaan.

Kohta lisätty 16.3.2021

System Preferences

Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) hänen avustaan.

WebKit

Maximilian Blochberger (Security in Distributed Systems Group, Hampurin yliopisto)

Kohta lisätty 25.5.2022

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: 31. lokakuuta 2023