À propos des correctifs de sécurité de macOS Big Sur 11.1, de la mise à jour de sécurité 2020-001 pour Catalina et de la mise à jour de sécurité 2020-007 pour Mojave

Ce document décrit les correctifs de sécurité de macOS Big Sur 11.1, de la mise à jour de sécurité 2020-001 pour Catalina et de la mise à jour de sécurité 2020-007 pour Mojave.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les mises à jour récentes sont répertoriées à la page Mises à jour de sécurité Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

macOS Big Sur 11.1, mise à jour de sécurité 2020-001 pour Catalina, mise à jour de sécurité 2020-007 pour Mojave

AMD

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2020-27914 : Yu Wang de Didi Research America

CVE-2020-27915 : Yu Wang de Didi Research America

AMD

Disponible pour : macOS Big Sur 11.0.1

Conséquence : un utilisateur local peut être en mesure d’entraîner l’arrêt inopiné du système ou de lire le contenu de la mémoire du noyau.

Description : un problème de lecture hors limites entraînait la divulgation de la mémoire du noyau. Ce problème a été résolu grâce à une meilleure validation des entrées.

CVE-2020-27936 : Yu Wang de Didi Research America

App Store

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : une app peut être en mesure d’accéder à des privilèges élevés.

Description : le problème a été résolu par la suppression du code vulnérable.

CVE-2020-27903 : Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab

AppleGraphicsControl

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de validation a été résolu par une meilleure logique.

CVE-2020-27941 : shrek_wzw

AppleMobileFileIntegrity

Disponible pour : macOS Big Sur 11.0.1

Conséquence : une app malveillante peut être en mesure de contourner les préférences de confidentialité.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2020-29621 : Wojciech Reguła (@_r3ggi) de SecuRing

Audio

Disponible pour : macOS Big Sur 11.0.1

Conséquence : le traitement d’un fichier audio malveillant peut entraîner la divulgation de la mémoire restreinte.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-29610 : un chercheur anonyme en collaboration avec le programme Zero Day Initiative de Trend Micro

Audio

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27910 : JunDong Xie et XingWei Lin d’Ant Security Light-Year Lab

Audio

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : une app malveillante pourrait être en mesure de lire la mémoire restreinte.

Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-9943 : JunDong Xie d’Ant Security Light-Year Lab

Audio

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : une app peut être en mesure de lire la mémoire restreinte

Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-9944 : JunDong Xie d’Ant Security Light-Year Lab

Audio

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27916 : JunDong Xie d’Ant Security Light-Year Lab

Bluetooth

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : un attaquant à distance pourrait être en mesure de provoquer l’arrêt inopiné d’une app ou une corruption de tas.

Description : plusieurs problèmes de dépassement d’entier ont été résolus par une meilleure validation des entrées.

CVE-2020-27906 : Zuozhi Fan (@pattern_F_) d’Ant Group Tianqiong Security Lab

CoreAudio

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-27948 : JunDong Xie d’Ant Security Light-Year Lab

CoreAudio

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27908 : Un chercheur anonyme en collaboration avec le programme Zero Day Initiative de Trend Micro, JunDong Xie et Xingwei Lin d’Ant Security Light-Year Lab

CVE-2020-9960 : JunDong Xie et Xingwei Lin d’Ant Security Light-Year Lab

CoreAudio

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-10017 : Francis travaillant avec le programme Zero Day Initiative de Trend Micro, JunDong Xie d’Ant Security Light-Year Lab

CoreText

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier de police malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-27922 : Mickey Jin de Trend Micro

CUPS

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : une app malveillante pourrait être en mesure de lire la mémoire restreinte.

Description : un problème de validation des entrées a été résolu par une meilleure gestion de la mémoire.

CVE-2020-10001 : Niky

FontParser

Disponible pour : macOS Big Sur 11.0.1

Conséquence : le traitement d’une police malveillante peut entraîner la divulgation du contenu de la mémoire de traitement.

Description : un problème de divulgation d’informations a été résolu par une meilleure gestion des états.

CVE-2020-27946 : Mateusz Jurczyk de Google Project Zero

FontParser

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code

Description : un dépassement de la mémoire tampon a été résolu par une meilleure validation de la taille.

CVE-2020-9962 : Yiğit Can YILMAZ (@yilmazcanyigit)

FontParser

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier de police malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27952 : Un chercheur anonyme, Mickey Jin et Junzhi Lu de Trend Micro

FontParser

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier de police malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-9956 : Mickey Jin et Junzhi Lu de Trend Micro Mobile Security Research Team travaillant avec le programme Zero Day Initiative de Trend Micro

FontParser

Disponible pour : macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1

Conséquence : le traitement d’un fichier de police malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire existait au niveau du traitement des fichiers de polices. Ce problème a été résolu par une meilleure validation des entrées.

CVE-2020-27931 : Apple

CVE-2020-27943 : Mateusz Jurczyk de Google Project Zero

CVE-2020-27944 : Mateusz Jurczyk de Google Project Zero

CVE-2020-29624 : Mateusz Jurczyk de Google Project Zero

FontParser

Disponible pour : macOS Big Sur 11.0.1

Conséquence : un attaquant à distance peut être en mesure de divulguer le contenu de la mémoire.

Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-29608 : Xingwei Lin d’Ant Security Light-Year Lab

Foundation

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : Un utilisateur local peut être en mesure de lire des fichiers arbitraires.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-10002 : James Hutchins

Graphics Drivers

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2020-27947 : ABC Research s.r.o. en collaboration avec le programme Zero Day Initiative de Trend Micro, Liu Long d’Ant Security Light-Year Lab

Graphics Drivers

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-29612 : ABC Research s.r.o. en collaboration avec le programme Zero Day Initiative de Trend Micro

HomeKit

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut être en mesure de modifier l’état d’une app de manière inattendue.

Description : ce problème a été résolu par une meilleure propagation des réglages.

CVE-2020-9978 : Luyi Xing, Dongfang Zhao et Xiaofeng Wang de l’université de l’Indiana à Bloomington, Yan Jia de Xidian University et University of Chinese Academy of Sciences ainsi que Bin Yuan de HuaZhong University of Science and Technology

ImageIO

Disponible pour : macOS High Sierra 10.13.6, macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2020-27939 : Xingwei Lin de l’Ant Security Light-Year Lab

CVE-2020-29625 : Xingwei Lin de l’Ant Security Light-Year Lab

ImageIO

Disponible pour : macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : le traitement d’une image malveillante peut entraîner un déni de service.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-29615 : Xingwei Lin d’Ant Security Light-Year Lab

ImageIO

Disponible pour : macOS Big Sur 11.0.1

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2020-29616 : zhouat en collaboration avec le programme Zero Day Initiative de Trend Micro

ImageIO

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27924 : Lei Sun

CVE-2020-29618 : XingWei Lin d’Ant Security Light-Year Lab

ImageIO

Disponible pour : macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-29611 : Alexandru-Vlad Niculae en collaboration avec Google Project Zero

ImageIO

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Conséquence : le traitement d’une image malveillante peut entraîner une corruption de tas.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-29617 : XingWei Lin d’Ant Security Light-Year Lab

CVE-2020-29619 : XingWei Lin d’Ant Security Light-Year Lab

ImageIO

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27912 : Xingwei Lin d’Ant Security Light-Year Lab

CVE-2020-27923 : Lei Sun

Image Processing

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27919 : Hou JingYi (@hjy79425575) de Qihoo 360 CERT, Xingwei Lin d’Ant Security Light-Year Lab

Intel Graphics Driver

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-10015 : ABC Research s.r.o. travaillant avec le programme Zero Day Initiative de Trend Micro

CVE-2020-27897 : Xiaolong Bai et Min (Spark) Zheng d’Alibaba Inc. et Luyi Xing de l’université de l’Indiana à Bloomington

Intel Graphics Driver

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2020-27907 : ABC Research s.r.o. travaillant avec le programme Zero Day Initiative de Trend Micro, Liu Long d’Ant Security Light-Year Lab

Kernel

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : Une app malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-9974 : Tommy Muir (@Muirey03)

Kernel

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

CVE-2020-10016 : Alex Helie

Kernel

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : un attaquant distant peut être en mesure d’entraîner l’arrêt inattendu du système ou de corrompre la mémoire du noyau.

Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure validation des entrées.

CVE-2020-9967 : Alex Plaskett (@alexjplaskett)

Kernel

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2020-9975 : Tielei Wang de Pangu Lab

Kernel

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de concurrence a été résolu par une meilleure gestion des états.

CVE-2020-27921 : Linus Henze (pinauten.de)

Kernel

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Conséquence : une app malveillante peut provoquer des changements inattendus dans la mémoire des processus tracés par DTrace

Description : ce problème a été résolu par l’application de meilleures vérifications pour prévenir les actions non autorisées.

CVE-2020-27949 : Steffen Klee (@_kleest) de TU Darmstadt, Secure Mobile Networking Lab

Kernel

Disponible pour : macOS Big Sur 11.0.1

Conséquence : une app malveillante peut permettre l’augmentation des privilèges.

Description : ce problème a été résolu par l’application d’autorisations améliorées.

CVE-2020-29620 : Csaba Fitzl (@theevilbit) d’Offensive Security

libxml2

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : un attaquant distant peut être en mesure de provoquer la fermeture inopinée d’une app ou l’exécution arbitraire de code.

Description : un problème de dépassement d’entier a été résolu par une meilleure validation des entrées.

CVE-2020-27911 : Découvert par OSS-Fuzz

libxml2

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution de code.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2020-27920 : Découvert par OSS-Fuzz

libxml2

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2020-27926 : découvert par OSS-Fuzz

libxpc

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : une application malveillante peut être en mesure de sortir de son bac à sable.

Description : un problème d’analyse de la gestion des chemins d’accès aux répertoires a été résolu par une meilleure validation des chemins d’accès.

CVE-2020-10014 : Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab

Logging

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : un attaquant local peut être en mesure d’augmenter ses privilèges.

Description : un problème de gestion des chemins a été résolu par une meilleure validation.

CVE-2020-10010 : Tommy Muir (@Muirey03)

Login Window

Disponible pour : macOS Big Sur 11.0.1

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut contourner la politique d’authentification

Description : un problème d’authentification a été résolu grâce à une meilleure gestion des états.

CVE-2020-29633 : Jewel Lambert d’Original Spin, LLC.

Model I/O

Disponible pour : macOS Big Sur 11.0.1

Conséquence : le traitement d’un fichier malveillant peut entraîner une corruption de tas.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2020-29614 : ZhiWei Sun (@5n1p3r0010) de Topsec Alpha Lab

Model I/O

Disponible pour : macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier USD malveillant peut entraîner la fermeture inopinée d’une app ou l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-13520 : Aleksandar Nikolic de Cisco Talos

Model I/O

Disponible pour : macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : le traitement d’un fichier USD peut entraîner la fermeture inopinée d’une app ou l’exécution arbitraire de code.

Description : un problème de dépassement de la mémoire tampon a été résolu par une meilleure gestion de la mémoire.

CVE-2020-9972 : Aleksandar Nikolic de Cisco Talos

Model I/O

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier USD peut entraîner la fermeture inopinée d’une app ou l’exécution arbitraire de code.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-13524 : Aleksandar Nikolic de Cisco Talos

Model I/O

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : l’ouverture d’un fichier malveillant peut entraîner l’arrêt inopiné d’une app ou l’exécution arbitraire d’un programme.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-10004 : Aleksandar Nikolic de Cisco Talos

NSRemoteView

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : un processus en mode bac à sable peut être en mesure de contourner les restrictions de bac à sable.

Description : un problème de logique a été résolu par de meilleures restrictions.

CVE-2020-27901 : Thijs Alkemade de Computest Research Division

Power Management

Disponible pour : macOS Big Sur 11.0.1

Conséquence : une app malveillante peut permettre l’augmentation des privilèges.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-27938 : Tim Michaud (@TimGMichaud) de Leviathan

Power Management

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : Une app malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-10007 : singi@theori travaillant avec le programme Zero Day Initiative de Trend Micro

Quick Look

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : Le traitement d’un document malveillant peut provoquer une attaque par exécution de scripts intersites.

Description : un problème d’accès a été résolu par une amélioration des restrictions d’accès.

CVE-2020-10012 : Heige de l’équipe KnownSec 404 (knownsec.com) et Bo Qu de Palo Alto Networks (paloaltonetworks.com)

Ruby

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : Un attaquant à distance peut être en mesure de modifier le système de fichiers.

Description : un problème de gestion des chemins a été résolu par une meilleure validation.

CVE-2020-27896 : Un chercheur anonyme

System Preferences

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : un processus en mode bac à sable peut être en mesure de contourner les restrictions de bac à sable.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-10009 : Thijs Alkemade de Computest Research Division

WebKit Storage

Disponible pour : macOS Big Sur 11.0.1

Conséquence : un utilisateur peut ne pas être en mesure de supprimer la totalité de l’historique de navigation.

Description : l’option « Effacer historique, données de sites » n’effaçait pas l’historique. Ce problème a été résolu par une meilleure suppression des données.

CVE-2020-29623 : Simon Hunt d’OvalTwo LTD

WebRTC

Disponible pour : macOS Big Sur 11.0.1

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2020-15969 : un chercheur anonyme

Wi-Fi

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7

Conséquence : Un attaquant peut être en mesure de contourner la protection des trames de gestion.

Description : un problème de déni de service a été résolu par une meilleure gestion des états.

CVE-2020-27898 : Stephan Marais de l’Université de Johannesburg

Remerciements supplémentaires

CoreAudio

Nous tenons à remercier JunDong Xie et Xingwei Lin d’Ant Security Light-Year Lab pour leur aide.