À propos des correctifs de sécurité de macOS Big Sur 11.1, de la mise à jour de sécurité 2020-001 pour Catalina et de la mise à jour de sécurité 2020-007 pour Mojave

Ce document décrit les correctifs de sécurité de macOS Big Sur 11.1, de la mise à jour de sécurité 2020-001 pour Catalina et de la mise à jour de sécurité 2020-007 pour Mojave.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par identifiant CVE dans la mesure du possible.

Pour obtenir des informations supplémentaires en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

macOS Big Sur 11.1, mise à jour de sécurité 2020-001 pour Catalina et mise à jour de sécurité 2020-007 pour Mojave

AMD

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application malveillante est susceptible d’exécuter du code arbitraire avec des privilèges système.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2020-27914 : Yu Wang de Didi Research America

CVE-2020-27915 : Yu Wang de Didi Research America

AMD

Disponible pour : macOS Big Sur 11.0.1

Conséquence : un utilisateur local peut être en mesure d’entraîner l’arrêt inopiné du système ou la lecture du contenu de la mémoire du noyau.

Description : un problème de lecture hors limites entraînait la divulgation de la mémoire du noyau. Ce problème a été résolu grâce à une meilleure validation des entrées.

CVE-2020-27936 : Yu Wang de Didi Research America

App Store

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : il est possible qu’une application profite de privilèges élevés.

Description : ce problème a été résolu par la suppression du code vulnérable.

CVE-2020-27903 : Zhipeng Huo (@R3dF09) du Tencent Security Xuanwu Lab.

AppleGraphicsControl

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de validation a été résolu par une meilleure logique.

CVE-2020-27941 : shrek_wzw

AppleMobileFileIntegrity

Disponible pour : macOS Big Sur 11.0.1

Conséquence : une application malveillante peut être en mesure de contourner les préférences de confidentialité.

Description : ce problème a été résolu par la réalisation de meilleures vérifications.

CVE-2020-29621 : Wojciech Reguła (@_r3ggi) de SecuRing

Audio

Disponible pour : macOS Big Sur 11.0.1

Conséquence : le traitement d’un fichier audio malveillant peut entraîner la divulgation de la mémoire restreinte.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-29610 : contribution anonyme en collaboration avec le programme Zero Day Initiative de Trend Micro

Audio

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27910 : JunDong Xie et XingWei Lin de l’Ant Security Light-Year Lab

Audio

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application malveillante est susceptible de lire la mémoire restreinte.

Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-9943 : JunDong Xie de l’Ant Security Light-Year Lab

Audio

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application peut être en mesure de lire la mémoire restreinte.

Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-9944 : JunDong Xie de l’Ant Security Light-Year Lab

Audio

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27916 : JunDong Xie de l’Ant Security Light-Year Lab

Bluetooth

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : il est possible qu’un attaquant à distance provoque la fermeture inopinée d’une application ou la corruption de tas.

Description : plusieurs problèmes de dépassement d’entier ont été résolus par une meilleure validation des entrées.

CVE-2020-27906 : Zuozhi Fan (@pattern_F_) de l’Ant Group Tianqiong Security Lab.

CoreAudio

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-27948 : JunDong Xie de l’Ant Security Light-Year Lab

CoreAudio

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27908 : contribution anonyme en collaboration avec le programme Zero Day Initiative de Trend Micro, JunDong Xie et XingWei Lin de l’Ant Security Light-Year Lab

CVE-2020-9960 : JunDong Xie et Xingwei Lin de l’Ant Security Light-Year Lab

CoreAudio

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-10017 : Francis en collaboration avec le programme Zero Day Initiative de Trend Micro, et JunDong Xie de l’Ant Security Light-Year Lab

CoreText

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier de polices malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-27922 : Mickey Jin de Trend Micro

CUPS

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application malveillante est susceptible de lire la mémoire restreinte.

Description : un problème de validation des entrées a été résolu par une meilleure gestion de la mémoire.

CVE-2020-10001 : Niky

FontParser

Disponible pour : macOS Big Sur 11.0.1

Conséquence : le traitement d’une police malveillante peut entraîner la divulgation du contenu de la mémoire de traitement.

Description : un problème de divulgation d’informations a été résolu par une meilleure gestion des états.

CVE-2020-27946 : Mateusz Jurczyk de Google Project Zero

FontParser

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.

Description : un dépassement de la mémoire tampon a été résolu par une meilleure validation de la taille.

CVE-2020-9962 : Yiğit Can Yılmaz (@yilmazcanyigit)

FontParser

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier de polices malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27952 : un chercheur anonyme, Mickey Jin et Junzhi Lu de Trend Micro

FontParser

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier de polices malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-9956 : Mickey Jin et Junzhi Lu de la Trend Micro Mobile Security Research Team en collaboration avec le programme Zero Day Initiative de Trend Micro

FontParser

Disponible pour : macOS High Sierra 10.13.6, macOS Mojave 10.14.6 et macOS Big Sur 11.0.1

Conséquence : le traitement d’un fichier de polices malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire affectait le traitement des fichiers de polices. Celui-ci a été résolu par une meilleure validation des entrées.

CVE-2020-27931 : Apple

CVE-2020-27943 : Mateusz Jurczyk de Google Project Zero

CVE-2020-27944 : Mateusz Jurczyk de Google Project Zero

CVE-2020-29624 : Mateusz Jurczyk de Google Project Zero

FontParser

Disponible pour : macOS Big Sur 11.0.1

Conséquence : un attaquant distant peut divulguer le contenu de la mémoire.

Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-29608 : Xingwei Lin de l’Ant Security Light-Year Lab.

Foundation

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : un utilisateur local est susceptible de lire des fichiers arbitraires.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-10002 : James Hutchins

Graphics Drivers

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2020-27947 : ABC Research s.r.o. en collaboration avec le programme Zero Day Initiative de Trend Micro, Liu Long de l’Ant Security Light-Year Lab

Graphics Drivers

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : une application malveillante est susceptible d’exécuter du code arbitraire avec des privilèges système.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-29612 : ABC Research s.r.o. en collaboration avec le programme Zero Day Initiative de Trend Micro

HomeKit

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut être en mesure de modifier l’état d’une application de manière inattendue.

Description : ce problème a été résolu par une meilleure propagation des réglages.

CVE-2020-9978 : Luyi Xing, Dongfang Zhao et Xiaofeng Wang de l’université de l’Indiana à Bloomington, Yan Jia de l’université Xidian et de l’université de l’Académie chinoise des sciences, et Bin Yuan de l’université des sciences et technologies de HuaZhong

ImageIO

Disponible pour : macOS High Sierra 10.13.6, macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.

Description : ce problème a été résolu par la réalisation de meilleures vérifications.

CVE-2020-27939 : Xingwei Lin de l’Ant Security Light-Year Lab

CVE-2020-29625 : Xingwei Lin de l’Ant Security Light-Year Lab

ImageIO

Disponible pour : macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : le traitement d’une image malveillante peut entraîner un déni de service.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-29615 : Xingwei Lin de l’Ant Security Light-Year Lab

ImageIO

Disponible pour : macOS Big Sur 11.0.1

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2020-29616 : zhouat en collaboration avec le programme Zero Day Initiative de Trend Micro

ImageIO

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27924 : Lei Sun

CVE-2020-29618 : XingWei Lin de l’Ant Security Light-Year Lab

ImageIO

Disponible pour : macOS High Sierra 10.13.6, macOS Mojave 10.14.6 et macOS Big Sur 11.0.1

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-29611 : Alexandru-Vlad Niculae en collaboration avec le programme Google Project Zero

ImageIO

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : le traitement d’une image malveillante peut entraîner une corruption de tas.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-29617 : XingWei Lin de l’Ant Security Light-Year Lab

CVE-2020-29619 : XingWei Lin de l’Ant Security Light-Year Lab

ImageIO

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27912 : Xingwei Lin de l’Ant Security Light-Year Lab

CVE-2020-27923 : Lei Sun

Image Processing

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27919 : Hou JingYi (@hjy79425575) de Qihoo 360 CERT, Xingwei Lin de l’Ant Security Light-Year Lab

Intel Graphics Driver

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-10015 : ABC Research s.r.o. en collaboration avec le programme Zero Day Initiative de Trend Micro

CVE-2020-27897 : Xiaolong Bai et Min (Spark) Zheng d’Alibaba Inc. et Luyi Xing de l’université de l’Indiana à Bloomington

Intel Graphics Driver

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2020-27907 : ABC Research s.r.o. en collaboration avec le programme Zero Day Initiative de Trend Micro, Liu Long de l’Ant Security Light-Year Lab

Kernel

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-9974 : Tommy Muir (@Muirey03)

Kernel

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

CVE-2020-10016 : Alex Helie

Kernel

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : un attaquant distant est susceptible d’entraîner l’arrêt inopiné du système ou de corrompre la mémoire du noyau.

Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure validation des entrées.

CVE-2020-9967 : Alex Plaskett (@alexjplaskett)

Kernel

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2020-9975 : Tielei Wang du Pangu Lab

Kernel

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de concurrence a été résolu par une meilleure gestion des états.

CVE-2020-27921 : Linus Henze (pinauten.de)

Kernel

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : une application malveillante peut provoquer des changements inattendus dans la mémoire associée aux processus suivis par DTrace.

Description : ce problème a été résolu par l’application de meilleures vérifications pour éviter les actions non autorisées.

CVE-2020-27949 : Steffen Klee (@_kleest) du Secure Mobile Networking Lab de l’université de technologie de Darmstadt

Kernel

Disponible pour : macOS Big Sur 11.0.1

Conséquence : une application malveillante peut être en mesure d’augmenter les privilèges.

Description : ce problème a été résolu par l’amélioration des autorisations.

CVE-2020-29620 : Csaba Fitzl (@theevilbit) d’Offensive Security

libxml2

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : un attaquant distant peut provoquer la fermeture inopinée d’une application ou l’exécution arbitraire de code.

Description : un problème de dépassement d’entier a été résolu par une meilleure validation des entrées.

CVE-2020-27911 : découvert par OSS-Fuzz

libxml2

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution de code.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2020-27920 : découvert par OSS-Fuzz

libxml2

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2020-27926 : OSS-Fuzz

libxpc

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application malveillante peut être en mesure de quitter sa sandbox.

Description : un problème d’analyse dans la gestion des chemins d’accès aux répertoires a été résolu par une meilleure validation des chemins d’accès.

CVE-2020-10014 : Zhipeng Huo (@R3dF09) du Tencent Security Xuanwu Lab

Logging

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : un attaquant local peut être en mesure d’augmenter ses privilèges.

Description : un problème de gestion des chemins a été résolu par une meilleure validation.

CVE-2020-10010 : Tommy Muir (@Muirey03)

Login Window

Disponible pour : macOS Big Sur 11.0.1

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut contourner la politique d’authentification.

Description : un problème d’authentification a été résolu par une meilleure gestion des états.

CVE-2020-29633 : Jewel Lambert d’Original Spin, LLC.

Model I/O

Disponible pour : macOS Big Sur 11.0.1

Conséquence : le traitement d’un fichier malveillant peut entraîner une corruption de tas.

Description : ce problème a été résolu par la réalisation de meilleures vérifications.

CVE-2020-29614 : ZhiWei Sun (@5n1p3r0010) de Topsec Alpha Lab

Model I/O

Disponible pour : macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier USD malveillant peut entraîner l’arrêt inopiné d’applications ou l’exécution de code arbitraire.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-13520 : Aleksandar Nikolic de Cisco Talos

Model I/O

Disponible pour : macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : le traitement d’un fichier USD malveillant peut entraîner l’arrêt inopiné d’applications ou l’exécution de code arbitraire.

Description : un problème de dépassement de la mémoire tampon a été résolu par une meilleure gestion de la mémoire.

CVE-2020-9972 : Aleksandar Nikolic de Cisco Talos

Model I/O

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier USD malveillant peut entraîner l’arrêt inopiné d’applications ou l’exécution de code arbitraire.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-13524 : Aleksandar Nikolic de Cisco Talos

Model I/O

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : l’ouverture d’un fichier malveillant peut entraîner l’arrêt inopiné d’applications ou l’exécution arbitraire de code.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-10004 : Aleksandar Nikolic de Cisco Talos

NSRemoteView

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : un processus en sandbox est susceptible de contourner les restrictions de la sandbox.

Description : un problème de logique a été résolu par de meilleures restrictions.

CVE-2020-27901 : Thijs Alkemade de Computest Research Division

Power Management

Disponible pour : macOS Big Sur 11.0.1

Conséquence : une application malveillante peut être en mesure d’augmenter les privilèges.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-27938 : Tim Michaud (@TimGMichaud) de Leviathan.

Power Management

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-10007 : singi@theori en collaboration avec le programme Zero Day Initiative de Trend Micro

Quick Look

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un document malveillant peut entraîner une attaque par injection de code indirect.

Description : un problème d’accès a été résolu par l’application de meilleures restrictions d’accès.

CVE-2020-10012 : Heige de la KnownSec 404 Team (knownsec.com) et Bo Qu de Palo Alto Networks (paloaltonetworks.com)

Ruby

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : un attaquant distant est susceptible de modifier le système de fichiers.

Description : un problème de gestion des chemins a été résolu par une meilleure validation.

CVE-2020-27896 : un chercheur anonyme

System Preferences

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : un processus en sandbox est susceptible de contourner les restrictions de la sandbox.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-10009 : Thijs Alkemade de Computest Research Division

WebKit Storage

Disponible pour : macOS Big Sur 11.0.1

Conséquence : un utilisateur peut ne pas être en mesure de supprimer la totalité de l’historique de navigation.

Description : l’option « Effacer historique, données de sites » n’efface pas l’historique. Ce problème a été résolu par une meilleure suppression des données.

CVE-2020-29623 : Simon Hunt d’OvalTwo LTD

WebRTC

Disponible pour : macOS Big Sur 11.0.1

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2020-15969 : un chercheur anonyme

Wi-Fi

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : un attaquant est susceptible de contourner la fonctionnalité Managed Frame Protection.

Description : un problème de déni de service a été résolu par une meilleure gestion des états.

CVE-2020-27898 : Stephan Marais de l’université de Johannesbourg

Remerciements supplémentaires

CoreAudio

Nous tenons à remercier JunDong Xie et Xingwei Lin de l’Ant Security Light-Year Lab pour leur aide.