À propos des correctifs de sécurité de macOS Big Sur 11.0.1
Ce document décrit les correctifs de sécurité de macOS Big Sur 11.0.1.
À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les mises à jour récentes sont répertoriées à la page Mises à jour de sécurité Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.
Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.
macOS Big Sur 11.0.1
AMD
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2020-27914 : Yu Wang de Didi Research America
CVE-2020-27915 : Yu Wang de Didi Research America
App Store
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app peut être en mesure d’accéder à des privilèges élevés.
Description : le problème a été résolu par la suppression du code vulnérable.
CVE-2020-27903 : Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab
Audio
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2020-27910 : JunDong Xie et XingWei Lin d’Ant Security Light-Year Lab
Audio
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.
CVE-2020-27916 : JunDong Xie d’Ant Security Light-Year Lab
Audio
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app malveillante pourrait être en mesure de lire la mémoire restreinte.
Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.
CVE-2020-9943 : JunDong Xie d’Ant Group Light-Year Security Lab
Audio
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app peut être en mesure de lire la mémoire restreinte
Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.
CVE-2020-9944 : JunDong Xie d’Ant Group Light-Year Security Lab
Bluetooth
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un attaquant à distance pourrait être en mesure de provoquer l’arrêt inopiné d’une app ou une corruption de tas.
Description : plusieurs problèmes de dépassement d’entier ont été résolus par une meilleure validation des entrées.
CVE-2020-27906 : Zuozhi Fan (@pattern_F_) d’Ant Group Tianqiong Security Lab
CFNetwork Cache
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de dépassement d’entiers a été résolu par une meilleure validation des entrées.
CVE-2020-27945 : Zhuo Liang de Qihoo 360 Vulcan Team
CoreAudio
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2020-27908 : JunDong Xie et Xingwei Lin d’Ant Security Light-Year Lab
CVE-2020-27909 : Un chercheur anonyme en collaboration avec le programme Zero Day Initiative de Trend Micro, JunDong Xie et Xingwei Lin d’Ant Security Light-Year Lab
CVE-2020-9960 : JunDong Xie et Xingwei Lin d’Ant Security Light-Year Lab
CoreAudio
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.
CVE-2020-10017 : Francis travaillant avec le programme Zero Day Initiative de Trend Micro, JunDong Xie d’Ant Security Light-Year Lab
CoreCapture
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2020-9949 : Proteas
CoreGraphics
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’un PDF malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.
CVE-2020-9897 : S.Y. de ZecOps Mobile XDR, un chercheur anonyme
CoreGraphics
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code
Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.
CVE-2020-9883 : Un chercheur anonyme et Mickey Jin de Trend Micro
Crash Reporter
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un attaquant local peut être en mesure d’augmenter ses privilèges.
Description : la logique de validation des chemins des liens symboliques présentait un problème. Ce problème a été résolu par un meilleur nettoyage des chemins.
CVE-2020-10003 : Tim Michaud (@TimGMichaud) de Leviathan
CoreText
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’un fichier de police malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2020-27922 : Mickey Jin de Trend Micro
CoreText
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’un fichier texte malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.
CVE-2020-9999 : Apple
Directory Utility
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : Une app malveillante pourrait être en mesure d’accéder à des informations confidentielles.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2020-27937 : Wojciech Reguła (@_r3ggi) de SecuRing
Disk Images
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2020-9965 : Proteas
CVE-2020-9966 : Proteas
Finder
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : les utilisateurs peuvent ne pas être en mesure de supprimer les métadonnées indiquant l’origine des fichiers
Description : le problème a été résolu par des contrôles utilisateur supplémentaires.
CVE-2020-27894 : Manuel Trezza de Shuggr (shuggr.com)
FontParser
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : Le traitement d’une police malveillante peut entraîner l’exécution arbitraire de code.
Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.
CVE-2020-36615 : Peter Nguyen Vu (@peternguyen14) de STAR Labs
FontParser
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’un fichier texte malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2021-1790 : Peter Nguyen Vu Hoang de STAR Labs
FontParser
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : Le traitement d’une police malveillante peut entraîner l’exécution arbitraire de code.
Description : le problème a été résolu par la suppression du code vulnérable.
CVE-2021-1775 : Mickey Jin et Qi Sun de Trend Micro en collaboration avec le programme Zero Day Initiative de Trend Micro
FontParser
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app malveillante pourrait être en mesure de lire la mémoire restreinte.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2020-29629 : Un chercheur anonyme
FontParser
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’un fichier de police malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2020-27942 : Un chercheur anonyme
FontParser
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code
Description : un dépassement de la mémoire tampon a été résolu par une meilleure validation de la taille.
CVE-2020-9962 : Yiğit Can YILMAZ (@yilmazcanyigit)
FontParser
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’un fichier de police malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.
CVE-2020-27952 : Un chercheur anonyme, Mickey Jin et Junzhi Lu de Trend Micro
FontParser
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’un fichier de police malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2020-9956 : Mickey Jin et Junzhi Lu de Trend Micro Mobile Security Research Team travaillant avec le programme Zero Day Initiative de Trend Micro
FontParser
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’un fichier de police malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire existait au niveau du traitement des fichiers de polices. Ce problème a été résolu par une meilleure validation des entrées.
CVE-2020-27931 : Apple
FontParser
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : Le traitement d’une police malveillante peut entraîner l’exécution arbitraire de code. Apple a connaissance de signalements concernant l’existence sur Internet d’un code malveillant qui exploite cette faille de sécurité.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2020-27930 : Project Zero de Google
FontParser
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’un fichier de police malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.
CVE-2020-27927 : Xingwei Lin d’Ant Light-Year Security Lab
FontParser
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’une police malveillante peut entraîner la divulgation du contenu de la mémoire de traitement.
Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.
CVE-2020-29639 : Mickey Jin et Qi Sun de Trend Micro travaillant avec le programme Zero Day Initiative de Trend Micro
Foundation
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : Un utilisateur local peut être en mesure de lire des fichiers arbitraires.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2020-10002 : James Hutchins
HomeKit
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut être en mesure de modifier l’état d’une app de manière inattendue.
Description : ce problème a été résolu par une meilleure propagation des réglages.
CVE-2020-9978 : Luyi Xing, Dongfang Zhao et Xiaofeng Wang de l’université de l’Indiana à Bloomington, Yan Jia de Xidian University et University of Chinese Academy of Sciences ainsi que Bin Yuan de HuaZhong University of Science and Technology
ImageIO
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code
Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.
CVE-2020-9955 : Mickey Jin de Trend Micro, Xingwei Lin d’Ant Security Light-Year Lab
ImageIO
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2020-27924 : Lei Sun
ImageIO
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code
Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.
CVE-2020-27912 : Xingwei Lin d’Ant Security Light-Year Lab
CVE-2020-27923 : Lei Sun
ImageIO
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner l’arrêt inopiné d’une app ou l’exécution arbitraire de code.
Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.
CVE-2020-9876 : Mickey Jin de Trend Micro
Intel Graphics Driver
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.
CVE-2020-10015 : ABC Research s.r.o. travaillant avec le programme Zero Day Initiative de Trend Micro
CVE-2020-27897 : Xiaolong Bai et Min (Spark) Zheng d’Alibaba Inc. et Luyi Xing de l’université de l’Indiana à Bloomington
Intel Graphics Driver
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.
CVE-2020-27907 : ABC Research s.r.o. travaillant avec le programme Zero Day Initiative de Trend Micro, Liu Long d’Ant Security Light-Year Lab
Image Processing
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code
Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.
CVE-2020-27919 : Hou JingYi (@hjy79425575) de Qihoo 360 CERT, Xingwei Lin d’Ant Security Light-Year Lab
Kernel
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un attaquant distant peut être en mesure d’entraîner l’arrêt inattendu du système ou de corrompre la mémoire du noyau.
Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure validation des entrées.
CVE-2020-9967 : Alex Plaskett (@alexjplaskett)
Kernel
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2020-9975 : Tielei Wang de Pangu Lab
Kernel
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de concurrence a été résolu par une meilleure gestion des états.
CVE-2020-27921 : Linus Henze (pinauten.de)
Kernel
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : Un problème de logique provoquait une corruption de la mémoire. Ce problème a été résolu par une meilleure gestion des états.
CVE-2020-27904 : Zuozhi Fan (@pattern_F_) d’Ant Group Tianqong Security Lab
Kernel
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut être en mesure de s’introduire dans des connexions actives au sein d’un tunnel RVP.
Description : un problème d’acheminement a été résolu par de meilleures restrictions.
CVE-2019-14899 : William J. Tolley, Beau Kujath et Jedidiah R. Crandall
Kernel
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app malveillante peut être en mesure de divulguer la mémoire du noyau. Apple a connaissance de signalements concernant l’existence sur Internet d’un code malveillant qui exploite cette faille de sécurité.
Description : un problème d’initialisation de la mémoire a été résolu.
CVE-2020-27950 : Project Zero de Google
Kernel
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : Une app malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2020-9974 : Tommy Muir (@Muirey03)
Kernel
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.
CVE-2020-10016 : Alex Helie
Kernel
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau. Apple a connaissance de signalements concernant l’existence sur Internet d’un code malveillant qui exploite cette faille de sécurité.
Description : un problème de confusion liée aux types a été résolu par une meilleure gestion des états.
CVE-2020-27932 : Project Zero de Google
libxml2
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution de code.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2020-27917 : Découvert par OSS-Fuzz
CVE-2020-27920 : Découvert par OSS-Fuzz
libxml2
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un attaquant distant peut être en mesure de provoquer la fermeture inopinée d’une app ou l’exécution arbitraire de code.
Description : un problème de dépassement d’entier a été résolu par une meilleure validation des entrées.
CVE-2020-27911 : Découvert par OSS-Fuzz
libxpc
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app malveillante peut permettre l’augmentation des privilèges.
Description : un problème de logique a été résolu par une meilleure validation.
CVE-2020-9971 : Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab
libxpc
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une application malveillante peut être en mesure de sortir de son bac à sable.
Description : un problème d’analyse de la gestion des chemins d’accès aux répertoires a été résolu par une meilleure validation des chemins d’accès.
CVE-2020-10014 : Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab
Logging
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un attaquant local peut être en mesure d’augmenter ses privilèges.
Description : un problème de gestion des chemins a été résolu par une meilleure validation.
CVE-2020-10010 : Tommy Muir (@Muirey03)
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un attaquant à distance peut être en mesure de modifier l’état de l’app de façon inopinée.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2020-9941 : Fabian Ising et Damian Poddebniak de la FH Münster University of Applied Sciences
Messages
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un utilisateur local peut être en mesure de découvrir les messages supprimés d’un autre utilisateur.
Description : ce problème a été résolu par une suppression améliorée.
CVE-2020-9988 : William Breuer des Pays-Bas
CVE-2020-9989 : von Brunn Media
Model I/O
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’un fichier USD peut entraîner la fermeture inopinée d’une app ou l’exécution arbitraire de code.
Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.
CVE-2020-10011 : Aleksandar Nikolic de Cisco Talos
Model I/O
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’un fichier USD peut entraîner la fermeture inopinée d’une app ou l’exécution arbitraire de code.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2020-13524 : Aleksandar Nikolic de Cisco Talos
Model I/O
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : l’ouverture d’un fichier malveillant peut entraîner l’arrêt inopiné d’une app ou l’exécution arbitraire d’un programme.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2020-10004 : Aleksandar Nikolic de Cisco Talos
NetworkExtension
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app malveillante peut permettre l’augmentation des privilèges.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2020-9996 : Zhiwei Yuan de l’équipe iCore de Trend Micro, Junzhi Lu et Mickey Jin de Trend Micro
NSRemoteView
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un processus en mode bac à sable peut être en mesure de contourner les restrictions de bac à sable.
Description : un problème de logique a été résolu par de meilleures restrictions.
CVE-2020-27901 : Thijs Alkemade de Computest Research Division
NSRemoteView
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : Une app malveillante peut être en mesure de prévisualiser des fichiers auxquels elle n’a pas accès.
Description : La gestion des instantanés présentait un problème. Le problème a été résolu par une meilleure logique des autorisations.
CVE-2020-27900 : Thijs Alkemade de Computest Research Division
PCRE
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : PCRE présentait plusieurs problèmes
Description : De nombreux problèmes ont été résolus par la mise à jour vers la version 8.44.
CVE-2019-20838
CVE-2020-14155
Power Management
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : Une app malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2020-10007 : singi@theori travaillant avec le programme Zero Day Initiative de Trend Micro
python
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : Les témoins associés à une origine peuvent être transférés vers une autre.
Description : de multiples problèmes ont été résolus par meilleure logique.
CVE-2020-27896 : Un chercheur anonyme
Quick Look
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app malveillante peut être en mesure de déterminer l’existence de fichiers sur l’ordinateur.
Description : le problème a été résolu par une meilleure gestion des caches de l’icône.
CVE-2020-9963 : Csaba Fitzl (@theevilbit) d’Offensive Security
Quick Look
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : Le traitement d’un document malveillant peut provoquer une attaque par exécution de scripts intersites.
Description : un problème d’accès a été résolu par une amélioration des restrictions d’accès.
CVE-2020-10012 : Heige de l’équipe KnownSec 404 (knownsec.com) et Bo Qu de Palo Alto Networks (paloaltonetworks.com)
Ruby
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : Un attaquant à distance peut être en mesure de modifier le système de fichiers.
Description : un problème de gestion des chemins a été résolu par une meilleure validation.
CVE-2020-27896 : Un chercheur anonyme
Ruby
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : Le gestionnaire d’environnement graphique json qui analyse certains documents JSON peut être forcé de créer des objets arbitraires dans le système cible.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2020-10663 : Jeremy Evans
Safari
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : la consultation d’un site web malveillant peut entraîner une utilisation détournée de la barre d’adresse.
Description : Un problème d’usurpation existait au niveau de la gestion des URL. Ce problème a été résolu par une meilleure validation des entrées.
CVE-2020-9945 : Narendra Bhati de Suma Soft Pvt. Ltd. Pune (Inde) @imnarendrabhati
Safari
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app malveillante peut être en mesure de déterminer les onglets ouverts d’un utilisateur dans Safari.
Description : un problème de validation se produisait au cours de la vérification des droits. Ce problème a été résolu par une meilleure validation des droits.
CVE-2020-9977 : Josh Parnham (@joshparnham)
Safari
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : la consultation d’un site web malveillant peut entraîner une utilisation détournée de la barre d’adresse.
Description : un problème d’incohérence de l’interface utilisateur a été résolu par une meilleure gestion des états.
CVE-2020-9942 : Un chercheur anonyme, Rahul D Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora) de The City School, PAF Chapter, Ruilin Yang de Tencent Security Xuanwu Lab, YoKo Kho (@YoKoAcc) de PT Telekomunikasi Indonesia (Persero) Tbk et Zhiyang Zeng (@Wester) d’OPPO ZIWU Security Lab
Safari
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : Un problème d’incohérence de l’interface utilisateur a été résolu par une meilleure gestion des états.
Description : La consultation d’un site Web malveillant peut entraîner une utilisation détournée de la barre d’adresse.
CVE-2020-9987 : Rafay Baloch (cybercitadel.com) de Cyber Citadel
Sandbox
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : Une app locale peut être en mesure d’énumérer les documents iCloud de l’utilisateur.
Description : le problème a été résolu par une meilleure logique des autorisations.
CVE-2021-1803 : Csaba Fitzl (@theevilbit) d’Offensive Security
Sandbox
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un utilisateur local peut être en mesure d’afficher des données utilisateur confidentielles.
Description : un problème d’accès a été résolu par des restrictions supplémentaires de bac à sable.
CVE-2020-9969 : Wojciech Reguła de SecuRing (wojciechregula.blog)
Screen Sharing
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : Un utilisateur disposant d’un accès au partage d’écran peut être en mesure de voir l’écran d’un autre utilisateur.
Description : Un problème lié au partage d’écran a été détecté. Ce problème a été résolu par une meilleure gestion des états.
CVE-2020-27893 : pcsgomes
Siri
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : Une personne bénéficiant d’un accès physique à un appareil iOS peut être en mesure d’accéder aux contacts par l’écran de verrouillage.
Description : un problème lié à l’écran de verrouillage permettait d’accéder aux contacts se trouvant sur un appareil verrouillé. Ce problème a été résolu par une meilleure gestion des états.
CVE-2021-1755 : Yuval Ron, Amichai Shulman et Eli Biham de Technion – Israel Institute of Technology
smbx
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut provoquer un déni de service.
Description : un problème d’épuisement des ressources a été résolu par une meilleure validation des entrées.
CVE-2020-10005 : Apple
SQLite
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un attaquant distant peut être à l’origine d’un déni de service.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2020-9991
SQLite
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un attaquant à distance peut être en mesure de divulguer le contenu de la mémoire.
Description : un problème de divulgation d’informations a été résolu par une meilleure gestion des états.
CVE-2020-9849
SQLite
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : SQLite présentait plusieurs problèmes.
Description : Plusieurs problèmes ont été résolus par de meilleures vérifications.
CVE-2020-15358
SQLite
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une requête SQL malveillante peut entraîner une corruption des données.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2020-13631
SQLite
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un attaquant distant peut être à l’origine d’un déni de service.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2020-13434
CVE-2020-13435
CVE-2020-9991
SQLite
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un attaquant distant peut être en mesure de provoquer l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.
CVE-2020-13630
Symptom Framework
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un attaquant local peut être en mesure d’augmenter ses privilèges.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2020-27899 : 08Tc3wBB en collaboration avec ZecOps
System Preferences
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un processus en mode bac à sable peut être en mesure de contourner les restrictions de bac à sable.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2020-10009 : Thijs Alkemade de Computest Research Division
TCC
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app malveillante avec des privilèges racine peut être en mesure d’accéder à des informations confidentielles.
Description : un problème de logique a été résolu par de meilleures restrictions.
CVE-2020-10008 : Wojciech Reguła de SecuRing (wojciechregula.blog)
WebKit
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2020-27918 : Liu Long d’Ant Security Light-Year Lab
WebKit
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : Un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
Description : Le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.
CVE-2020-9947 : cc travaillant avec Zero Day Initiative de Trend Micro
CVE-2020-9950 : cc travaillant avec Zero Day Initiative de Trend Micro
Wi-Fi
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : Un attaquant peut être en mesure de contourner la protection des trames de gestion.
Description : un problème de déni de service a été résolu par une meilleure gestion des états.
CVE-2020-27898 : Stephan Marais de l’Université de Johannesburg
XNU
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : un processus en mode bac à sable peut être en mesure de contourner les restrictions de bac à sable.
Description : de multiples problèmes ont été résolus par meilleure logique.
CVE-2020-27935 : Lior Halphon (@LIJI32)
Xsan
Disponible pour : Mac Pro (2013 et modèles ultérieurs), MacBook Air (2013 et modèles ultérieurs), MacBook Pro (fin 2013 et modèles ultérieurs), Mac mini (2014 et modèles ultérieurs), iMac (2014 et modèles ultérieurs), MacBook (2015 et modèles ultérieurs), iMac Pro (tous les modèles)
Conséquence : une app malveillante peut être en mesure d’accéder à des fichiers restreints.
Description : ce problème a été résolu par l’application d’autorisations améliorées.
CVE-2020-10006 : Wojciech Reguła (@_r3ggi) de SecuRing
Remerciements supplémentaires
802.1X
Nous tenons à remercier Kenana Dalle de Hamad bin Khalifa University et Ryan Riley de Carnegie Mellon University au Qatar pour leur aide.
Audio
Nous tenons à remercier JunDong Xie et Xingwei Lin d’Ant-Financial Light-Year Security Lab, Marc Schoenefeld Dr. rer. nat. pour leur aide.
Bluetooth
Nous tenons à remercier Andy Davis de NCC Group et Dennis Heinze (@ttdennis) de TU Darmstadt, Secure Mobile Networking Lab pour leur aide.
Clang
Nous tenons à remercier Brandon Azad de Google Project Zero pour son aide.
Core Location
Nous tenons à remercier Yiğit Can YILMAZ (@yilmazcanyigit) pour son aide.
Crash Reporter
Nous tenons à remercier Artur Byszko d’AFINE pour son aide.
Directory Utility
Nous tenons à remercier Wojciech Reguła (@_r3ggi) de SecuRing pour son aide.
iAP
Nous tenons à remercier Andy Davis de NCC Group pour son aide.
Kernel
Nous tenons à remercier Brandon Azad de Project Zero de Google et Stephen Röttger de Google pour leur aide.
libxml2
Nous tenons à remercier un chercheur anonyme pour son aide.
Login Window
Nous tenons à remercier Rob Morton de Leidos pour son aide.
Login Window
Nous tenons à remercier Rob Morton de Leidos pour son aide.
Photos Storage
Nous tenons à remercier Paulos Yibelo de LimeHats pour son aide.
Quick Look
Nous tenons à remercier Csaba Fitzl (@theevilbit) et Wojciech Reguła de SecuRing (wojciechregula.blog) pour leur aide.
Safari
Nous tenons à remercier Gabriel Corona et Narendra Bhati de Suma Soft Pvt. Ltd. Pune (Inde) @imnarendrabhati pour leur aide.
Sandbox
Nous tenons à remercier Saagar Jha pour son aide.
Security
Nous tenons à remercier Christian Starkjohann d’Objective Development Software GmbH pour son aide.
System Preferences
Nous tenons à remercier Csaba Fitzl (@theevilbit) d’Offensive Security pour son aide.
System Preferences
Nous tenons à remercier Csaba Fitzl (@theevilbit) d’Offensive Security pour son aide.
WebKit
Maximilian Blochberger du Security in Distributed Systems Group de l’Université de Hambourg
Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.