Tietoja macOS Catalina 10.15.6:n turvallisuussisällöstä, suojauspäivityksestä 2020-004 Mojave ja suojauspäivityksestä 2020-004 High Sierra
Tässä asiakirjassa kerrotaan macOS Catalina 10.15.6:n turvallisuussisällöstä, suojauspäivityksestä 2020-004 Mojave ja suojauspäivityksestä 2020-004 High Sierra.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Catalina 10.15.6, suojauspäivitys 2020-004 Mojave ja suojauspäivitys 2020-004 High Sierra
AMD
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-9927: Lilang Wu yhteistyössä Trend Micron Zero Day Initiativen kanssa
Audio
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-9884: Yu Zhou (@yuzhou6666, 小鸡帮) yhteistyössä Trend Micron Zero Day Initiativen kanssa
CVE-2020-9889: Nimetön yhteistyössä Trend Micron Zero Day Initiativen, JunDong Xien ja XingWei Linin (Ant-Financial Light-Year Security Lab) kanssa
Audio
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-9888: JunDong Xie ja XingWei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9890: JunDong Xie ja XingWei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9891: JunDong Xie ja XingWei Lin (Ant-Financial Light-Year Security Lab)
Bluetooth
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2020-9928: Yu Wang (Didi Research America)
Bluetooth
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2020-9929: Yu Wang (Didi Research America)
Clang
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Clang saattoi luoda konekieltä, joka ei käytä Pointer Authentication -koodeja oikein.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2020-9870: Samuel Groß (Google Project Zero)
CoreAudio
Saatavuus: macOS High Sierra 10.13.6
Vaikutus: Puskurin ylivuoto saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2020-9866: Yu Zhou (小鸡帮) ja Jundong Xie (Ant-Financial Light-Year Security Lab)
Core Bluetooth
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2020-9869: Patrick Wardle (Jamf)
CoreCapture
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-9949: Proteas
CoreFoundation
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Paikallinen käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja.
Kuvaus: Ympäristömuuttujien käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla validointia.
CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)
CoreGraphics
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2020-9883: nimetön tutkija, Mickey Jin (Trend Micro)
Crash Reporter
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Haittaohjelma saattoi pystyä poistumaan eristyksestään.
Kuvaus: Muistin vioittumisongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2020-9865: Zhuo Liang (Qihoo 360 Vulcan Team) yhteistyössä 360 BugCloudin kanssa
Crash Reporter
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan
Kuvaus: Symbolisten linkkien polun validointilogiikassa oli ongelma. Ongelma on ratkaistu parantamalla polkujen puhdistamista.
CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) – Zero-dayits-tiimi, Legendsec, Qi'anxin Group
FontParser
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-9980: Xingwei Lin (Ant Security Light-Year Lab)
Graphics Drivers
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2020-9799: ABC Research s.r.o.
Heimdal
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.
CVE-2020-9913: Cody Thomas (SpecterOps)
ImageIO
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27933: Xingwei Lin (Ant-Financial Light-Year Security Lab)
ImageIO
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: openEXR:ssä oli useita puskurin ylivuoto-ongelmia
Kuvaus: Useita openEXR:ssä olleita ongelmia korjattiin parannetuilla tarkistuksilla.
CVE-2020-11758: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11759: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11760: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11761: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11762: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11763: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11764: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11765: Xingwei Lin (Ant-Financial Light-Year Security Lab)
ImageIO
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-9871: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9872: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9874: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9879: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9936: Mickey Jin (Trend Micro)
CVE-2020-9937: Xingwei Lin (Ant-Financial Light-Year Security Lab)
ImageIO
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2020-9919: Mickey Jin (Trend Micro)
ImageIO
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-9876: Mickey Jin (Trend Micro)
ImageIO
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-9873: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9938: Xingwei Lin (Ant-Financial Light-Year Security Lab)
ImageIO
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2020-9877: Xingwei Lin (Ant-Financial Light-Year Security Lab)
ImageIO
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-9875: Mickey Jin (Trend Micro)
ImageIO
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-9873: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9938: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9984: nimetön tutkija
Image Processing
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Haitallisen JPEG-tiedoston tarkasteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-9887: Mickey Jin (Trend Micro)
Intel Graphics Driver
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-9908: Junzhi Lu (@pwn0rz) yhteistyössä Trend Micron Zero Day Initiativen kanssa
Intel Graphics Driver
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2020-9990: Trend Micron Zero Day Initiativen parissa työskentelevä ABC Research s.r.l., Trend Micron Zero Day Initiativen parissa työskentelevä ABC Research s.r.o.
Intel Graphics Driver
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2020-9921: Trend Micron Zero Day Initiativen parissa työskentelevä ABC Research s.r.o.
Kernel
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi kyetä lisäämään koodia aktiivisiin yhteyksiin VPN-tunnelissa.
Kuvaus: Reititysongelma on ratkaistu parantamalla rajoituksia.
CVE-2019-14899: William J. Tolley, Beau Kujath ja Jedidiah R. Crandall
Kernel
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2020-9904: Tielei Wang (Pangu Lab)
Kernel
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-9924: Matt DeVore (Google)
Kernel
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla tilan hallintaa.
CVE-2020-9892: Andy Nguyen (Google)
Kernel
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Muistin alustusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2020-9863: Xinru Chi (Pangu Lab)
Kernel
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-9902: Xinru Chi ja Tielei Wang (Pangu Lab)
Kernel
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2020-9905: Raz Mashat (@RazMashat, ZecOps)
Kernel
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Haittaohjelma saattoi paljastaa rajoitetun muistin.
Kuvaus: Tietojen paljastumisen ongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2020-9997: Catalin Valeriu Lita (SecurityScorecard)
libxml2
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Haitallisen XML:n käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-9926: ongelman havaitsi OSS-Fuzz
libxpc
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Vaikutus: Haittaohjelma saattoi pystyä korvaamaan mielivaltaisia tiedostoja.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2020-9994: Apple
Login Window
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Käyttäjä voi olla odottamatta kirjautuneena toisen käyttäjän tilille
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-9935: nimetön tutkija
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2019-19906
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Haitallinen postipalvelin saattoi korvata mielivaltaisia postitiedostoja.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2020-9920: YongYue Wang AKA BigChan (Hillstone Networks AF Team)
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Haitallisen sähköpostin käsitteleminen saattoi johtaa mielivaltaiseen tiedostojen kirjoittamiseen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-9922: Mikko Kenttälä (@Turmio_) (SensorFu)
Messages
Saatavuus: macOS Catalina 10.15.5
Vaikutus: iMessage-ryhmästä poistettu käyttäjä pystyi liittymään takaisin ryhmään.
Kuvaus: iMessagen Tapback-toiminnon käsittelyssä oli ongelma. Ongelma on ratkaistu lisävahvistuksella.
CVE-2020-9885: nimetön tutkija, Suryansh Mansharamani (WWP High School North, medium.com/@suryanshmansha)
Model I/O
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2020-9878: Holger Fuhrmannek (Deutsche Telekom Security)
Model I/O
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2020-9880: Holger Fuhrmannek (Deutsche Telekom Security)
Model I/O
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2020-9878: Aleksandar Nikolic (Cisco Talos), Holger Fuhrmannek (Deutsche Telekom Security)
CVE-2020-9881: Holger Fuhrmannek (Deutsche Telekom Security)
CVE-2020-9882: Holger Fuhrmannek (Deutsche Telekom Security)
CVE-2020-9940: Holger Fuhrmannek (Deutsche Telekom Security)
CVE-2020-9985: Holger Fuhrmannek (Deutsche Telekom Security)
OpenLDAP
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2020-12243
Perl
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Perlin säännöllisten lausekkeiden kääntäjässä ollut kokonaisluvun ylivuoto saattoi sallia etähyökkääjän lisätä ohjeita säännöllisen lausekkeen käännettyyn muotoon.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2020-10878: Hugo van der Sanden ja Slaven Rezic
Perl
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2020-12723: Sergey Aleynikov
rsync
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Vaikutus: Etähyökkääjä saattoi pystyä korvaamaan olemassa olevia tiedostoja.
Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.
CVE-2014-9512: gaojianfeng
Sandbox
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-9930: Zhiyi Zhang (Codesafe Team, Legendsec, Qi'anxin Group)
Sandbox
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Paikallinen käyttäjä saattoi pystyä lataamaan allekirjoittamattomia kernel-laajennuksia.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2020-9939: @jinmo123, @setuid0x0_ ja @insu_yun_en (@SSLab_Gatech) yhteistyössä Trend Micron Zero Day Initiativen kanssa
Security
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2020-9864: Alexander Holodny
Security
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Hyökkääjä saattoi pystyä tekeytymään luotetuksi sivustoksi käyttämällä ylläpitäjän lisäämän varmenteen jaettuun avaimeen liittyvää materiaalia.
Kuvaus: Ylläpitäjän lisäämiä varmenteita käsiteltäessä ilmeni varmenteiden validointiongelma. Ongelma on ratkaistu parantamalla varmenteiden validointia.
CVE-2020-9868: Brian Wolff (Asana)
Security
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Vaikutus: Appi saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2020-9854: Ilias Morad (A2nkF)
sysdiagnose
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan
Kuvaus: Symbolisten linkkien polun validointilogiikassa oli ongelma. Ongelma on ratkaistu parantamalla polkujen puhdistamista.
CVE-2020-9901: Tim Michaud (@TimGMichaud, Leviathan), Zhongcheng Li (CK01, Legendsecin Zero-dayits Team, Qi'anxin Group)
Vim
Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2019-20807: Guilherme de Almeida Suckevicz
WebDAV
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: Ongelma on ratkaistu parannetuilla oikeuksilla.
CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)
Wi-Fi
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-9918: Jianjun Dai (360 Alpha Lab) yhteistyössä 360 BugCloudin (bugcloud.360.cn) kanssa
Wi-Fi
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-9899: Yu Wang (Didi Research America)
Wi-Fi
Saatavuus: macOS Catalina 10.15.5
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-9906: Ian Beer (Google Project Zero)
Kiitokset
CoreFoundation
Haluamme kiittää Bobby Pelletieria hänen avustaan.
ImageIO
Haluamme kiittää Xingwei Liniä (Ant-Financial Light-Year Security Lab) hänen avustaan.
Siri
Haluamme kiittää Yuval Ronia, Amichai Shulmania ja Eli Bihamia (Technion, Israel Institute of Technology) heidän avustaan.
USB Audio
Haluamme kiittää NCC Groupin Andy Davisia hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.