Tietoja macOS Catalina 10.15.7:n turvallisuussisällöstä, suojauspäivityksestä 2020-005 High Sierra ja suojauspäivityksestä 2020-005 Mojave

Tässä asiakirjassa kerrotaan macOS Catalina 10.15.7:n turvallisuussisällöstä, suojauspäivityksestä 2020-005 High Sierra ja suojauspäivityksestä 2020-005 Mojave.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Catalina 10.15.7, suojauspäivitys 2020-005 High Sierra ja suojauspäivitys 2020-005 Mojave

CoreAudio

Saatavuus: macOS Catalina 10.15

Vaikutus: Haitallisen äänitiedoston toistaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-9954: Francis yhteistyössä Trend Micron Zero Day Initiativen kanssa, JunDong Xie (Ant Group Light-Year Security Lab)

Missä on...?

Saatavuus: macOS Catalina 10.15

Vaikutus: Haitallinen appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: Tietyissä kotikansion tiedostoissa esiintyi niiden käyttöön liittyvä ongelma. Ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2020-9986: Tim Kornhuber, Milan Stute ja Alexander Heinrich (TU Darmstadt, Secure Mobile Networking Lab)

ImageIO

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9961: Xingwei Lin (Ant Security Light-Year Lab)

libxml2

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2020-9981: Ongelman havaitsi OSS-Fuzz

Mail

Saatavuus: macOS High Sierra 10.13.6

Vaikutus: Etähyökkääjä saattoi pystyä muuttamaan apin tilaa odottamatta.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2020-9941: Fabian Ising (FH Münster University of Applied Sciences) ja Damian Poddebniak (FH Münster University of Applied Sciences)

Model I/O

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-10011: Aleksandar Nikolic (Cisco Talos)

CVE-2020-9973: Aleksandar Nikolic (Cisco Talos)

Model I/O

Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15

Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-13520: Aleksandar Nikolic (Cisco Talos)

Eristys

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään rajoitettuja tiedostoja.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2020-9968: Adam Chester (@_xpn_, TrustedSec)

Wi-Fi

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2020-10013: Yu Wang (Didi Research America)

Kiitokset

Bluetooth

Haluamme kiittää NCC Groupin Andy Davisia hänen avustaan.