Tietoja macOS Catalina 10.15.7:n turvallisuussisällöstä, suojauspäivityksestä 2020-005 High Sierra ja suojauspäivityksestä 2020-005 Mojave

Tässä asiakirjassa kerrotaan macOS Catalina 10.15.7:n turvallisuussisällöstä, suojauspäivityksestä 2020-005 High Sierra ja suojauspäivityksestä 2020-005 Mojave.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Catalina 10.15.7, suojauspäivitys 2020-005 High Sierra ja suojauspäivitys 2020-005 Mojave

Julkaistu 24.9.2020

CoreAudio

Saatavuus: macOS Catalina 10.15

Vaikutus: Haitallisen äänitiedoston toistaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-9954: Francis yhteistyössä Trend Micron Zero Day Initiativen kanssa, JunDong Xie (Ant Group Light-Year Security Lab)

Kohta lisätty 12.11.2020

Missä on...?

Saatavuus: macOS Catalina 10.15

Vaikutus: Haitallinen appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: Tietyissä kotikansion tiedostoissa esiintyi niiden käyttöön liittyvä ongelma. Ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2020-9986: Tim Kornhuber, Milan Stute ja Alexander Heinrich (TU Darmstadt, Secure Mobile Networking Lab)

Kohta lisätty 12.11.2020

ImageIO

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9961: Xingwei Lin (Ant Security Light-Year Lab)

Kohta päivitetty 12.11.2020

libxml2

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2020-9981: Ongelman havaitsi OSS-Fuzz

Kohta lisätty 12.11.2020, päivitetty 16.3.2021

Mail

Saatavuus: macOS High Sierra 10.13.6

Vaikutus: Etähyökkääjä saattoi pystyä muuttamaan apin tilaa odottamatta.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2020-9941: Fabian Ising (FH Münster University of Applied Sciences) ja Damian Poddebniak (FH Münster University of Applied Sciences)

Model I/O

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-10011: Aleksandar Nikolic (Cisco Talos)

CVE-2020-9973: Aleksandar Nikolic (Cisco Talos)

Kohta päivitetty 12.11.2020

Model I/O

Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15

Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-13520: Aleksandar Nikolic (Cisco Talos)

Kohta lisätty 12.11.2020

Eristys

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään rajoitettuja tiedostoja.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2020-9968: Adam Chester (@_xpn_, TrustedSec)

Kohta päivitetty 12.11.2020

Wi-Fi

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2020-10013: Yu Wang (Didi Research America)

Kohta lisätty 16.3.2021

Kiitokset

Bluetooth

Haluamme kiittää NCC Groupin Andy Davisia hänen avustaan.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: