Tietoja macOS Catalina 10.15.6:n turvallisuussisällöstä, suojauspäivityksestä 2020-004 Mojave ja suojauspäivityksestä 2020-004 High Sierra

Tässä asiakirjassa kerrotaan macOS Catalina 10.15.6:n turvallisuussisällöstä, suojauspäivityksestä 2020-004 Mojave ja suojauspäivityksestä 2020-004 High Sierra.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

macOS Catalina 10.15.6, suojauspäivitys 2020-004 Mojave ja suojauspäivitys 2020-004 High Sierra

Julkaistu 15.7.2020

AMD

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9927: Lilang Wu yhteistyössä Trend Micron Zero Day Initiativen kanssa

Kohta päivitetty 5.8.2020

Audio

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-9884: Yu Zhou (@yuzhou6666, 小鸡帮) yhteistyössä Trend Micron Zero Day Initiativen kanssa

CVE-2020-9889: Nimetön yhteistyössä Trend Micron Zero Day Initiativen, JunDong Xien ja XingWei Linin (Ant-Financial Light-Year Security Lab) kanssa

Kohta päivitetty 5.8.2020

Audio

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-9888: JunDong Xie ja XingWei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9890: JunDong Xie ja XingWei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9891: JunDong Xie ja XingWei Lin (Ant-Financial Light-Year Security Lab)

Kohta päivitetty 5.8.2020

Bluetooth

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-9928: Yu Wang (Didi Research America)

Kohta lisätty 5.8.2020

Bluetooth

Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-9929: Yu Wang (Didi Research America)

Kohta lisätty 5.8.2020

Clang

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Clang saattoi luoda konekieltä, joka ei käytä Pointer Authentication -koodeja oikein.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2020-9870: Samuel Groß (Google Project Zero)

CoreAudio

Saatavuus: macOS High Sierra 10.13.6

Vaikutus: Puskurin ylivuoto saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2020-9866: Yu Zhou (小鸡帮) ja Jundong Xie (Ant-Financial Light-Year Security Lab)

Core Bluetooth

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-9869: Patrick Wardle (Jamf)

Kohta lisätty 5.8.2020

CoreCapture

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2020-9949: Proteas

Kohta lisätty 12.11.2020

CoreFoundation

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Paikallinen käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja.

Kuvaus: Ympäristömuuttujien käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)

Kohta päivitetty 5.8.2020

CoreGraphics

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen

Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-9883: nimetön tutkija, Mickey Jin (Trend Micro)

Kohta lisätty 24.7.2020, päivitetty 12.11.2020

Crash Reporter

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Haittaohjelma saattoi pystyä poistumaan eristyksestään.

Kuvaus: Muistin vioittumisongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2020-9865: Zhuo Liang (Qihoo 360 Vulcan Team) yhteistyössä 360 BugCloudin kanssa

Crash Reporter

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan

Kuvaus: Symbolisten linkkien polun validointilogiikassa oli ongelma. Ongelma on ratkaistu parantamalla polkujen puhdistamista.

CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) – Zero-dayits-tiimi, Legendsec, Qi'anxin Group

Kohta lisätty 5.8.2020, päivitetty 17.12.2021

FontParser

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-9980: Xingwei Lin (Ant Security Light-Year Lab)

Kohta lisätty 21.9.2020, päivitetty 19.10.2020

Graphics Drivers

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.

CVE-2020-9799: ABC Research s.r.o.

Kohta päivitetty 24.7.2020

Heimdal

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2020-9913: Cody Thomas (SpecterOps)

ImageIO

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-27933: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Kohta lisätty 16.3.2021

ImageIO

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: openEXR:ssä oli useita puskurin ylivuoto-ongelmia

Kuvaus: Useita openEXR:ssä olleita ongelmia korjattiin parannetuilla tarkistuksilla.

CVE-2020-11758: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11759: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11760: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11761: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11762: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11763: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11764: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11765: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Kohta lisätty 8.9.2020

ImageIO

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-9871: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9872: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9874: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9879: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9936: Mickey Jin (Trend Micro)

CVE-2020-9937: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Kohta päivitetty 5.8.2020

ImageIO

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen

Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-9919: Mickey Jin (Trend Micro)

Kohta lisätty 24.7.2020

ImageIO

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-9876: Mickey Jin (Trend Micro)

Kohta lisätty 24.7.2020

ImageIO

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9873: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9938: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Kohta lisätty 24.7.2020

ImageIO

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.

CVE-2020-9877: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Kohta lisätty 5.8.2020

ImageIO

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9875: Mickey Jin (Trend Micro)

Kohta lisätty 5.8.2020

ImageIO

Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9873: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9938: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9984: nimetön tutkija

Kohta lisätty 21.9.2020

Image Processing

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Haitallisen JPEG-tiedoston tarkasteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9887: Mickey Jin (Trend Micro)

Kohta lisätty 8.9.2020

Intel Graphics Driver

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9908: Junzhi Lu (@pwn0rz) yhteistyössä Trend Micron Zero Day Initiativen kanssa

Kohta lisätty 24.7.2020, päivitetty 31.8.2020

Intel Graphics Driver

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2020-9990: Trend Micron Zero Day Initiativen parissa työskentelevä ABC Research s.r.l., Trend Micron Zero Day Initiativen parissa työskentelevä ABC Research s.r.o.

Kohta lisätty 21.9.2020

Intel Graphics Driver

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-9921: Trend Micron Zero Day Initiativen parissa työskentelevä ABC Research s.r.o.

Kohta lisätty 5.8.2020

Kernel

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi kyetä lisäämään koodia aktiivisiin yhteyksiin VPN-tunnelissa.

Kuvaus: Reititysongelma on ratkaistu parantamalla rajoituksia.

CVE-2019-14899: William J. Tolley, Beau Kujath ja Jedidiah R. Crandall

Kernel

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2020-9904: Tielei Wang (Pangu Lab)

Kohta lisätty 24.7.2020

Kernel

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2020-9924: Matt DeVore (Google)

Kohta lisätty 24.7.2020

Kernel

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla tilan hallintaa.

CVE-2020-9892: Andy Nguyen (Google)

Kohta lisätty 24.7.2020

Kernel

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: Muistin alustusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-9863: Xinru Chi (Pangu Lab)

Kohta päivitetty 5.8.2020

Kernel

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-9902: Xinru Chi ja Tielei Wang (Pangu Lab)

Kohta lisätty 5.8.2020

Kernel

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2020-9905: Raz Mashat (@RazMashat, ZecOps)

Kohta lisätty 5.8.2020

Kernel

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Haittaohjelma saattoi paljastaa rajoitetun muistin.

Kuvaus: Tietojen paljastumisen ongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2020-9997: Catalin Valeriu Lita (SecurityScorecard)

Kohta lisätty 21.9.2020

libxml2

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Haitallisen XML:n käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2020-9926: ongelman havaitsi OSS-Fuzz

Kohta lisätty 16.3.2021

libxpc

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Haittaohjelma saattoi pystyä korvaamaan mielivaltaisia tiedostoja.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2020-9994: Apple

Kohta lisätty 21.9.2020

Login Window

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Käyttäjä voi olla odottamatta kirjautuneena toisen käyttäjän tilille

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2020-9935: nimetön tutkija

Kohta lisätty 21.9.2020

Mail

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2019-19906

Kohta lisätty 24.7.2020, päivitetty 8.9.2020

Mail

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Haitallinen postipalvelin saattoi korvata mielivaltaisia postitiedostoja.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2020-9920: YongYue Wang AKA BigChan (Hillstone Networks AF Team)

Kohta lisätty 24.7.2020

Mail

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Haitallisen sähköpostin käsitteleminen saattoi johtaa mielivaltaiseen tiedostojen kirjoittamiseen.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2020-9922: Mikko Kenttälä (@Turmio_) (SensorFu)

Kohta lisätty 12.11.2020

Messages

Saatavuus: macOS Catalina 10.15.5

Vaikutus: iMessage-ryhmästä poistettu käyttäjä pystyi liittymään takaisin ryhmään.

Kuvaus: iMessagen Tapback-toiminnon käsittelyssä oli ongelma. Ongelma on ratkaistu lisävahvistuksella.

CVE-2020-9885: nimetön tutkija, Suryansh Mansharamani (WWP High School North, medium.com/@suryanshmansha)

Model I/O

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen

Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-9878: Holger Fuhrmannek (Deutsche Telekom Security)

Model I/O

Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2020-9880: Holger Fuhrmannek (Deutsche Telekom Security)

Kohta lisätty 24.7.2020, päivitetty 21.9.2020

Model I/O

Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen

Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-9878: Aleksandar Nikolic (Cisco Talos), Holger Fuhrmannek (Deutsche Telekom Security)

CVE-2020-9881: Holger Fuhrmannek (Deutsche Telekom Security)

CVE-2020-9882: Holger Fuhrmannek (Deutsche Telekom Security)

CVE-2020-9940: Holger Fuhrmannek (Deutsche Telekom Security)

CVE-2020-9985: Holger Fuhrmannek (Deutsche Telekom Security)

Kohta lisätty 24.7.2020, päivitetty 21.9.2020

OpenLDAP

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2020-12243

Kohta lisätty 21.9.2020

Perl

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Perlin säännöllisten lausekkeiden kääntäjässä ollut kokonaisluvun ylivuoto saattoi sallia etähyökkääjän lisätä ohjeita säännöllisen lausekkeen käännettyyn muotoon.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2020-10878: Hugo van der Sanden ja Slaven Rezic

Kohta lisätty 16.3.2021

Perl

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2020-12723: Sergey Aleynikov

Kohta lisätty 16.3.2021

rsync

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Etähyökkääjä saattoi pystyä korvaamaan olemassa olevia tiedostoja.

Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2014-9512: gaojianfeng

Kohta lisätty 24.7.2020

Sandbox

Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9930: Zhiyi Zhang (Codesafe Team, Legendsec, Qi'anxin Group)

Kohta lisätty 15.12.2020

Sandbox

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Paikallinen käyttäjä saattoi pystyä lataamaan allekirjoittamattomia kernel-laajennuksia.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2020-9939: @jinmo123, @setuid0x0_ ja @insu_yun_en (@SSLab_Gatech) yhteistyössä Trend Micron Zero Day Initiativen kanssa

Kohta lisätty 5.8.2020

Security

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2020-9864: Alexander Holodny

Security

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Hyökkääjä saattoi pystyä tekeytymään luotetuksi sivustoksi käyttämällä ylläpitäjän lisäämän varmenteen jaettuun avaimeen liittyvää materiaalia.

Kuvaus: Ylläpitäjän lisäämiä varmenteita käsiteltäessä ilmeni varmenteiden validointiongelma. Ongelma on ratkaistu parantamalla varmenteiden validointia.

CVE-2020-9868: Brian Wolff (Asana)

Kohta lisätty 24.7.2020

Security

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Appi saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2020-9854: Ilias Morad (A2nkF)

Kohta lisätty 24.7.2020

sysdiagnose

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan

Kuvaus: Symbolisten linkkien polun validointilogiikassa oli ongelma. Ongelma on ratkaistu parantamalla polkujen puhdistamista.

CVE-2020-9901: Tim Michaud (@TimGMichaud, Leviathan), Zhongcheng Li (CK01, Legendsecin Zero-dayits Team, Qi'anxin Group)

Kohta lisätty 5.8.2020, päivitetty 31.8.2020

Vim

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2019-20807: Guilherme de Almeida Suckevicz

WebDAV

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: Ongelma on ratkaistu parannetuilla oikeuksilla.

CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)

Kohta lisätty 8.9.2020

Wi-Fi

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9918: Jianjun Dai (360 Alpha Lab) yhteistyössä 360 BugCloudin (bugcloud.360.cn) kanssa

Wi-Fi

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9899: Yu Wang (Didi Research America)

Kohta lisätty 24.7.2020

Wi-Fi

Saatavuus: macOS Catalina 10.15.5

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9906: Ian Beer (Google Project Zero)

Kohta lisätty 24.7.2020

Kiitokset

CoreFoundation

Haluamme kiittää Bobby Pelletieria hänen avustaan.

Kohta lisätty 8.9.2020

ImageIO

Haluamme kiittää Xingwei Liniä (Ant-Financial Light-Year Security Lab) hänen avustaan.

Kohta lisätty 21.9.2020

Siri

Haluamme kiittää Yuval Ronia, Amichai Shulmania ja Eli Bihamia (Technion, Israel Institute of Technology) heidän avustaan.

Kohta lisätty 5.8.2020

USB Audio

Haluamme kiittää NCC Groupin Andy Davisia hänen avustaan.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: