Tietoja macOS Big Sur 11.1:n turvallisuussisällöstä, suojauspäivityksestä 2020-001 Catalina ja suojauspäivityksestä 2020-007 Mojave.
Tässä asiakirjassa kerrotaan macOS Big Sur 11.1:n turvallisuussisällöstä, suojauspäivityksestä 2020-001 Catalina ja suojauspäivityksestä 2020-007 Mojave.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus
macOS Big Sur 11.1, suojauspäivitys 2020-001 Catalina ja suojauspäivitys 2020-007 Mojave
AMD
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27914: Yu Wang (Didi Research America)
CVE-2020-27915: Yu Wang (Didi Research America)
AMD
Saatavuus: macOS Big Sur 11.0.1
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.
Kuvaus: Rajojen ulkopuolisen lukemisen ongelma saattoi johtaa kernel-muistin paljastumiseen. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2020-27936: Yu Wang (Didi Research America)
App Store
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Appi saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2020-27903: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab)
AppleGraphicsControl
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Vaikutus: sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.
CVE-2020-27941: shrek_wzw
AppleMobileFileIntegrity
Saatavuus: macOS Big Sur 11.0.1
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2020-29621: Wojciech Reguła (@_r3ggi, SecuRing)
Audio
Saatavuus: macOS Big Sur 11.0.1
Vaikutus: Haitallisen äänitiedoston käsittely saattoi aiheuttaa rajatun muistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-29610: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön henkilö
Audio
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27910: JunDong Xie ja XingWei Lin (Ant Security Light-Year Lab)
Audio
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haittaohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2020-9943: JunDong Xie (Ant Security Light-Year Lab)
Audio
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-9944: JunDong Xie (Ant Security Light-Year Lab)
Audio
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27916: JunDong Xie (Ant Security Light-Year Lab)
Bluetooth
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai keon vioittumisen.
Kuvaus: Useita kokonaisluvun ylivuotoja ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27906: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)
CoreAudio
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-27948: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27908: Nimetön yhteistyössä Trend Micron Zero Day Initiativen kanssa, JunDong Xie ja Xingwei Lin (Ant Security Light-Year Lab)
CVE-2020-9960: JunDong Xie ja Xingwei Lin (Ant Security Light-Year Lab)
CoreAudio
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-10017: Francis yhteistyössä Trend Micron Zero Day Initiativen kanssa, JunDong Xie (Ant Security Light-Year Lab)
CoreText
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-27922: Mickey Jin (Trend Micro)
CUPS
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haittaohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla muistin käsittelyä.
CVE-2020-10001: Niky
FontParser
Saatavuus: macOS Big Sur 11.0.1
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: Tietojen paljastumisen ongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2020-27946: Mateusz Jurczyk (Google Project Zero)
FontParser
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Puskurin ylivuoto on korjattu parantamalla koon tarkistusta.
CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)
FontParser
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27952: nimetön tutkija, Mickey Jin ja Junzhi Lu (Trend Micro)
FontParser
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-9956: Trend Micron Zero Day Initiativen parissa työskentelevät Mickey Jin ja Junzhi Lu (Trend Micro Mobile Security Research Team)
FontParser
Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.
CVE-2020-27931: Apple
CVE-2020-27943: Mateusz Jurczyk (Google Project Zero)
CVE-2020-27944: Mateusz Jurczyk (Google Project Zero)
CVE-2020-29624: Mateusz Jurczyk (Google Project Zero)
FontParser
Saatavuus: macOS Big Sur 11.0.1
Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2020-29608: Xingwei Lin (Ant Security Light-Year Lab)
Foundation
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan mielivaltaisia tiedostoja.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-10002: James Hutchins
Graphics Drivers
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27947: ABC Research s.r.o. yhteistyössä Trend Micron Zero Day Initiativen kanssa, Liu Long (Ant Security Light-Year Lab)
Graphics Drivers
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-29612: ABC Research s.r.o. yhteistyössä Trend Micron Zero Day Initiativen kanssa
HomeKit
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä muuttamaan apin tilaa odottamattomasti.
Kuvaus: Ongelma on ratkaistu parantamalla asetusten levittämistä.
CVE-2020-9978: Luyi Xing, Dongfang Zhao ja Xiaofeng Wang (Indiana University Bloomington), Yan Jia (Xidian University ja University of Chinese Academy of Sciences) sekä Bin Yuan (HuaZhong University of Science and Technology)
ImageIO
Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2020-27939: XingWei Lin (Ant Security Light-Year Lab)
CVE-2020-29625: XingWei Lin (Ant Security Light-Year Lab)
ImageIO
Saatavuus: macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-29615: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Saatavuus: macOS Big Sur 11.0.1
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-29616: zhouat yhteistyössä Trend Micron Zero Day Initiativen kanssa
ImageIO
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27924: Lei Sun
CVE-2020-29618: XingWei Lin (Ant Security Light-Year Lab)
ImageIO
Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-29611: Alexandru-Vlad Niculae yhteistyössä Google Project Zeron kanssa
ImageIO
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Vaikutus: Haitallisen kuvan käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-29617: XingWei Lin (Ant Security Light-Year Lab)
CVE-2020-29619: XingWei Lin (Ant Security Light-Year Lab)
ImageIO
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27912: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2020-27923: Lei Sun
Image Processing
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27919: Hou JingYi (@hjy79425575) (Qihoo 360 CERT), Xingwei Lin (Ant Security Light-Year Lab)
Intel Graphics Driver
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-10015: ABC Research s.r.o. yhteistyössä Trend Micron Zero Day Initiativen kanssa
CVE-2020-27897: Xiaolong Bai ja Min (Spark) Zheng (Alibaba Inc.) ja Luyi Xing (Indiana University Bloomington)
Intel Graphics Driver
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2020-27907: ABC Research s.r.o. yhteistyössä Trend Micron Zero Day Initiativen kanssa, Liu Long (Ant Security Light-Year Lab)
Kernel
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2020-10016: Alex Helie
Kernel
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2020-9967: Alex Plaskett (@alexjplaskett)
Kernel
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-9975: Tielei Wang (Pangu Lab)
Kernel
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2020-27921: Linus Henze (pinauten.de)
Kernel
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Vaikutus: Haittaohjelma saattoi aiheuttaa odottamattomia muutoksia muistissa, joka kuuluu DTracen seuraamille prosesseille.
Kuvaus: Ongelma on ratkaistu parannetuilla tarkistuksilla luvattomien toimintojen estämiseksi.
CVE-2020-27949: Steffen Klee (@_kleest, TU Darmstadt, Secure Mobile Networking Lab)
Kernel
Saatavuus: macOS Big Sur 11.0.1
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: Ongelma on ratkaistu parannetuilla oikeuksilla.
CVE-2020-29620: Csaba Fitzl (@theevilbit, Offensive Security)
libxml2
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27911: ongelman havaitsi OSS-Fuzz
libxml2
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-27920: ongelman havaitsi OSS-Fuzz
libxml2
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-27926: ongelman havaitsi OSS-Fuzz
libxpc
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haittaohjelma saattoi pystyä poistumaan eristyksestään.
Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.
CVE-2020-10014: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab)
Logging
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2020-10010: Tommy Muir (@Muirey03)
Login Window
Saatavuus: macOS Big Sur 11.0.1
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä ohittamaan todentamiskäytännön.
Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2020-29633: Jewel Lambert (Original Spin, LLC.)
Model I/O
Saatavuus: macOS Big Sur 11.0.1
Vaikutus: Haitallisen tiedoston käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2020-29614: ZhiWei Sun (@5n1p3r0010, Topsec Alpha Lab)
Model I/O
Saatavuus: macOS Catalina 10.15.7
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-13520: Aleksandar Nikolic (Cisco Talos)
Model I/O
Saatavuus: macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2020-9972: Aleksandar Nikolic (Cisco Talos)
Model I/O
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-13524: Aleksandar Nikolic (Cisco Talos)
Model I/O
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haitallisen tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-10004: Aleksandar Nikolic (Cisco Talos)
NSRemoteView
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2020-27901: Thijs Alkemade (Computest Research Division)
Power Management
Saatavuus: macOS Big Sur 11.0.1
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-27938: Tim Michaud (@TimGMichaud, Leviathan)
Power Management
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-10007: Trend Micron Zero Day Initiativen parissa työskentelevä singi@theori
Quick Look
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Haitallisen dokumentin käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.
Kuvaus: Käyttöongelma on ratkaistu lisäämällä käyttörajoituksia.
CVE-2020-10012: Heige (KnownSec 404 Team, knownsec.com) ja Bo Qu (Palo Alto Networks, paloaltonetworks.com)
Ruby
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Etähyökkääjä saattoi pystyä muuttamaan tiedostojärjestelmää.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2020-27896: nimetön tutkija
System Preferences
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-10009: Thijs Alkemade (Computest Research Division)
WebKit Storage
Saatavuus: macOS Big Sur 11.0.1
Vaikutus: Käyttäjä ei mahdollisesti pystynyt poistamaan selaushistoriaa kokonaan.
Kuvaus: Tyhjennä historia ja poista data -valinta ei tyhjentänyt historiaa. Ongelma on ratkaistu parantamalla tietojen poistamista.
CVE-2020-29623: Simon Hunt (OvalTwo LTD)
WebRTC
Saatavuus: macOS Big Sur 11.0.1
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-15969: nimetön tutkija
Wi-Fi
Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Vaikutus: Hyökkääjä saattoi pystyä ohittamaan Managed Frame Protection -suojauksen.
Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla tilankäsittelyä.
CVE-2020-27898: Stephan Marais (University of Johannesburg)
Kiitokset
CoreAudio
Haluamme kiittää JunDong Xieta ja Xingwei Liniä (Ant Security Light-Year Lab) heidän avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.