Tietoja macOS Catalina 10.15.3:n turvallisuussisällöstä, suojauspäivityksestä 2020-001 Mojave ja suojauspäivityksestä 2020-001 High Sierra

Tässä asiakirjassa kerrotaan macOS Catalina 10.15.3:n turvallisuussisällöstä, suojauspäivityksestä 2020-001 Mojave ja suojauspäivityksestä 2020-001 High Sierra.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Catalina 10.15.3, suojauspäivitys 2020-001 Mojave ja suojauspäivitys 2020-001 High Sierra

Julkaistu 28.1.2020

AnnotationKit

Saatavuus: macOS Catalina 10.15.2

Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-3877: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija

apache_mod_php

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Vaikutus: PHP:ssä esiintyi useita ongelmia.

Kuvaus: Useita ongelmia ratkaistiin päivittämällä PHP:n versioon 7.3.11.

CVE-2019-11043

Ääni

Saatavuus: macOS Catalina 10.15.2

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-3857: Zhuo Liang (Qihoo 360 Vulcan Team)

autofs

Saatavuus: macOS Catalina 10.15.2

Vaikutus: Hyökkääjän hallussa olevasta NFS-asennuksesta peräisin olevan tiedoston hakeminen ja avaaminen saattoi ohittaa Gatekeeper-tarkistuksen.

Kuvaus: Ongelma ratkaistiin lisäämällä Gatekeeper-tarkistuksia jaetun verkon kautta käyttöön otettujen tiedostojen kohdalla.

CVE-2020-3866: Jose Castro Almeida (@HackerOn2Wheels) ja René Kroka (@rene_kroka)

CoreBluetooth

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-3848: Jianjun Dai (Qihoo 360 Alpha Lab)

CVE-2020-3849: Jianjun Dai (Qihoo 360 Alpha Lab)

CVE-2020-3850: Jianjun Dai (Qihoo 360 Alpha Lab)

Kohta päivitetty 3.2.2020

CoreBluetooth

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-3847: Jianjun Dai (Qihoo 360 Alpha Lab)

Kohta päivitetty 3.2.2020

Kaatumisen raportoija

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään rajoitettuja tiedostoja.

Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2020-3835: Csaba Fitzl (@theevilbit)

crontab

Saatavuus: macOS Catalina 10.15.2

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-3863: James Hutchins

Kohta lisätty 8.9.2020

Apeista löytynyttä

Saatavuus: macOS Catalina 10.15.2

Vaikutus: Salattuja tietoja voitiin käyttää epäasianmukaisella tavalla.

Kuvaus: Siri-ehdotuksissa ilmennyt ongelma mahdollisti salattujen tietojen käytön. Ongelma ratkaistiin rajoittamalla salattujen tietojen käyttöä.

CVE-2020-9774: Bob Gendler (National Institute of Standards and Technology)

Kohta päivitetty 28.7.2020

Kuvankäsittely

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Vaikutus: Haitallisen JPEG-tiedoston katsominen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-3827: Samuel Groß (Google Project Zero)

ImageIO

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-3826: Samuel Groß (Google Project Zero)

CVE-2020-3870

CVE-2020-3878: Samuel Groß (Google Project Zero)

CVE-2020-3880: Samuel Groß (Google Project Zero)

Kohta päivitetty 4.4.2020

Intelin grafiikkaohjain

Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.2

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-3845: Zhuo Liang (Qihoo 360 Vulcan Team)

IOAcceleratorFamily

Saatavuus: macOS Catalina 10.15.2

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-3837: Brandon Azad (Google Project Zero)

IOThunderboltFamily

Saatavuus: macOS Catalina 10.15.2

Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2020-3851: Xiaolong Bai ja Min (Spark) Zheng (Alibaba Inc.) sekä Luyi Xing (Indiana University Bloomington)

Kohta lisätty 4.4.2020

IPSec

Saatavuus: macOS Catalina 10.15.2

Vaikutus: Haitallisen racoon-määrittelytiedoston lataaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: racoon-määrittelytiedostojen käsittelyssä oli yhden arvon heitto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

CVE-2020-3840: @littlelailo

Kernel

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2020-3875: Brandon Azad (Google Project Zero)

Kernel

Saatavuus: macOS Catalina 10.15.2

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Muistin alustusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-3872: Haakon Garseg Mørk (Cognite) ja Cim Stordal (Cognite)

Kernel

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-3853: Brandon Azad (Google Project Zero)

Kernel

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: Käyttöoikeusongelma on korjattu parantamalla muistin hallintaa.

CVE-2020-3836: Brandon Azad (Google Project Zero)

Kernel

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-3842: Ned Williamson yhteistyössä Google Project Zeron kanssa

CVE-2020-3871: Corellium

libxml2

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Vaikutus: Haitallisen XML:n käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Puskurin ylivuoto on korjattu parantamalla koon tarkistusta.

CVE-2020-3846: Ranier Vilela

Kohta päivitetty 3.2.2020

libxpc

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Vaikutus: Haitallisen merkkijonon käsitteleminen saattoi johtaa keon vioittumiseen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-3856: Ian Beer (Google Project Zero)

libxpc

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-3829: Ian Beer (Google Project Zero)

PackageKit

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Vaikutus: Haittaohjelma saattoi pystyä korvaamaan mielivaltaisia tiedostoja.

Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2020-3830: Csaba Fitzl (@theevilbit)

Suojaus

Saatavuus: macOS Catalina 10.15.2

Vaikutus: Haittaohjelma saattoi pystyä poistumaan eristyksestään.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2020-3854: Jakob Rieck (@0xdead10cc) ja Maximilian Blochberger (Security in Distributed Systems Group, University of Hamburg)

Kohta päivitetty 3.2.2020

sudo

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Vaikutus: Tietyt kokoonpanot saattoivat antaa paikallisen hyökkääjän suorittaa mielivaltaista koodia.

Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-18634: Apple

Järjestelmä

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Haittaohjelma saattoi pystyä korvaamaan mielivaltaisia tiedostoja.

Kuvaus: Käyttöongelma on ratkaistu lisäämällä käyttörajoituksia.

CVE-2020-3855: Csaba Fitzl (@theevilbit)

Wi-Fi

Saatavuus: macOS Catalina 10.15.2

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2020-3839: s0ngsari (Theori and Lee, Seoul National University) yhteistyössä Trend Micron Zero Day Initiativen kanssa

Wi-Fi

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-3843: Ian Beer (Google Project Zero)

Kohta päivitetty 13.5.2020

wifivelocityd

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Kiitokset

Kuvien tallennus

Haluamme kiittää Allison Husainia (UC Berkeley) hänen avustaan.

Kohta päivitetty 19.3.2020

SharedFileList

Haluamme kiittää Patrick Wardlea (Jamf) hänen avustaan.

Kohta lisätty 4.4.2020

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: