À propos des correctifs de sécurité de macOS Big Sur 11.1, de la mise à jour de sécurité 2020-001 pour Catalina et de la mise à jour de sécurité 2020-007 pour Mojave

Ce document décrit les correctifs de sécurité de macOS Big Sur 11.1, de la mise à jour de sécurité 2020-001 pour Catalina et de la mise à jour de sécurité 2020-007 pour Mojave.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir des informations supplémentaires en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

macOS Big Sur 11.1, mise à jour de sécurité 2020-001 pour Catalina et mise à jour de sécurité 2020-007 pour Mojave

Publié le 14 décembre 2020

AMD

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2020-27914 : Yu Wang de Didi Research America.

CVE-2020-27915 : Yu Wang de Didi Research America.

AMD

Disponible pour : macOS Big Sur 11.0.1

Conséquence : un utilisateur local peut être en mesure d’entraîner l’arrêt inopiné du système ou la lecture du contenu de la mémoire du noyau.

Description : un problème de lecture hors limites entraînait la divulgation de la mémoire du noyau. Ce problème a été résolu grâce à une meilleure validation des entrées.

CVE-2020-27936 : Yu Wang de Didi Research America

Entrée ajoutée le 1er février 2021

App Store

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : il est possible qu’une application profite de privilèges élevés.

Description : ce problème a été résolu par la suppression du code vulnérable.

CVE-2020-27903 : Zhipeng Huo (@R3dF09) du Tencent Security Xuanwu Lab.

AppleGraphicsControl

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de validation a été résolu par une meilleure logique.

CVE-2020-27941 : shrek_wzw

AppleMobileFileIntegrity

Disponible pour : macOS Big Sur 11.0.1

Conséquence : une application malveillante peut être en mesure de contourner les préférences de confidentialité.

Description : ce problème a été résolu par la réalisation de meilleures vérifications.

CVE-2020-29621 : Wojciech Reguła (@_r3ggi) de SecuRing

Audio

Disponible pour : macOS Big Sur 11.0.1

Conséquence : le traitement d’un fichier audio malveillant peut entraîner la divulgation de la mémoire restreinte.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-29610 : contribution anonyme en collaboration avec le programme Zero Day Initiative de Trend Micro

Entrée ajoutée le 16 mars 2021

Audio

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27910 : JunDong Xie et XingWei Lin de l’Ant Security Light-Year Lab

Audio

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application malveillante peut être en mesure de lire la mémoire restreinte.

Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-9943 : JunDong Xie de l’Ant Security Light-Year Lab

Audio

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application peut être en mesure de lire la mémoire restreinte.

Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-9944 : JunDong Xie de l’Ant Security Light-Year Lab

Audio

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27916 : JunDong Xie de l’Ant Security Light-Year Lab

Bluetooth

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : il est possible qu’un attaquant à distance provoque la fermeture inopinée d’une application ou la corruption de tas.

Description : plusieurs problèmes de dépassement d’entier ont été résolus par une meilleure validation des entrées.

CVE-2020-27906 : Zuozhi Fan (@pattern_F_) de l’Ant Group Tianqiong Security Lab.

CoreAudio

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-27948 : JunDong Xie de l’Ant Security Light-Year Lab

CoreAudio

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27908 : contribution anonyme en collaboration avec le programme Zero Day Initiative de Trend Micro, JunDong Xie et XingWei Lin de l’Ant Security Light-Year Lab

CVE-2020-9960 : JunDong Xie et Xingwei Lin de l’Ant Security Light-Year Lab.

Entrée mise à jour le 16 mars 2021

CoreAudio

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier audio malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-10017 : Francis en collaboration avec le programme Zero Day Initiative de Trend Micro et JunDong Xie de l’Ant Security Light-Year Lab

CoreText

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier de polices malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-27922 : Mickey Jin de Trend Micro.

CUPS

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application malveillante peut être en mesure de lire la mémoire restreinte.

Description : un problème de validation des entrées a été résolu par une meilleure gestion de la mémoire.

CVE-2020-10001 : Niky <kittymore83@gmail.com> de China Mobile

Entrée ajoutée le 1er février 2021

FontParser

Disponible pour : macOS Big Sur 11.0.1

Conséquence : le traitement d’une police malveillante peut entraîner la divulgation du contenu de la mémoire de traitement.

Description : un problème de divulgation d’informations a été résolu par une meilleure gestion des états.

CVE-2020-27946 : Mateusz Jurczyk de Google Project Zero

FontParser

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.

Description : un dépassement de la mémoire tampon a été résolu par une meilleure validation de la taille.

CVE-2020-9962 : Yiğit Can Yılmaz (@yilmazcanyigit).

FontParser

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier de polices malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27952 : un chercheur anonyme, Mickey Jin et Junzhi Lu de Trend Micro.

FontParser

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier de polices malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-9956 : Mickey Jin et Junzhi Lu de la Trend Micro Mobile Security Research Team en collaboration avec le programme Zero Day Initiative de Trend Micro.

FontParser

Disponible pour : macOS High Sierra 10.13.6, macOS Mojave 10.14.6 et macOS Big Sur 11.0.1

Conséquence : le traitement d’un fichier de polices malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire existait au niveau du traitement des fichiers de polices. Celui-ci a été résolu par une meilleure validation des entrées.

CVE-2020-27931 : Apple.

CVE-2020-27943 : Mateusz Jurczyk de Google Project Zero

CVE-2020-27944 : Mateusz Jurczyk de Google Project Zero

CVE-2020-29624 : Mateusz Jurczyk de Google Project Zero

Entrée mise à jour le 22 décembre 2020

FontParser

Disponible pour : macOS Big Sur 11.0.1

Conséquence : un attaquant distant peut divulguer le contenu de la mémoire.

Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-29608 : Xingwei Lin de l’Ant Security Light-Year Lab.

Entrée ajoutée le 1er février 2021

Foundation

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : un utilisateur local peut être en mesure de lire des fichiers arbitraires.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-10002 : James Hutchins.

Gestionnaires de graphiques

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2020-27947 : ABC Research s.r.o. en collaboration avec le programme Zero Day Initiative de Trend Micro, Liu Long de l’Ant Security Light-Year Lab

Entrée mise à jour le 16 mars 2021

Gestionnaires de graphiques

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-29612 : ABC Research s.r.o. en collaboration avec le programme Zero Day Initiative de Trend Micro

HomeKit

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut être en mesure de modifier l’état d’une application de manière inattendue.

Description : ce problème a été résolu par une meilleure propagation des réglages.

CVE-2020-9978 : Luyi Xing, Dongfang Zhao et Xiaofeng Wang de l’université de l’Indiana à Bloomington, Yan Jia de l’université Xidian et de l’université de l’Académie chinoise des sciences, et Bin Yuan de l’université des sciences et technologies de HuaZhong.

ImageIO

Disponible pour : macOS High Sierra 10.13.6, macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.

Description : ce problème a été résolu par la réalisation de meilleures vérifications.

CVE-2020-27939 : Xingwei Lin de l’Ant Security Light-Year Lab

CVE-2020-29625 : Xingwei Lin de l’Ant Security Light-Year Lab

Entrée ajoutée le mardi 22 décembre 2020 et mise à jour le 1er février 2021

ImageIO

Disponible pour : macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : le traitement d’une image malveillante peut entraîner un déni de service.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-29615 : Xingwei Lin de l’Ant Security Light-Year Lab

Entrée ajoutée le 1er février 2021

ImageIO

Disponible pour : macOS Big Sur 11.0.1

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2020-29616 : zhouat en collaboration avec le programme Zero Day Initiative de Trend Micro

ImageIO

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27924 : Lei Sun.

CVE-2020-29618 : XingWei Lin de l’Ant Security Light-Year Lab

ImageIO

Disponible pour : macOS High Sierra 10.13.6, macOS Mojave 10.14.6 et macOS Big Sur 11.0.1

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-29611 : Alexandru-Vlad Niculae en collaboration avec le programme Google Project Zero

Entrée mise à jour le 17 décembre 2020

ImageIO

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : le traitement d’une image malveillante peut entraîner une corruption de tas.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-29617 : XingWei Lin de l’Ant Security Light-Year Lab

CVE-2020-29619 : XingWei Lin de l’Ant Security Light-Year Lab

ImageIO

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27912 : XingWei Lin de l’Ant Security Light-Year Lab

CVE-2020-27923 : Lei Sun.

Traitement d’image

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-27919 : Hou JingYi (@hjy79425575) de Qihoo 360 CERT et Xingwei Lin de l’Ant Security Light-Year Lab

Gestionnaire Intel Graphics

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-10015 : ABC Research s.r.o. en collaboration avec le programme Zero Day Initiative de Trend Micro.

CVE-2020-27897 : Xiaolong Bai et Min (Spark) Zheng d’Alibaba Inc. et Luyi Xing de l’université de l’Indiana à Bloomington

Gestionnaire Intel Graphics

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2020-27907 : ABC Research s.r.o. en collaboration avec le programme Zero Day Initiative de Trend Micro, Liu Long de l’Ant Security Light-Year Lab

Entrée mise à jour le 16 mars 2021

Noyau

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-9974 : Tommy Muir (@Muirey03).

Noyau

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

CVE-2020-10016 : Alex Helie.

Noyau

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : un attaquant distant peut être en mesure d’entraîner l’arrêt inopiné du système ou de corrompre la mémoire du noyau.

Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure validation des entrées.

CVE-2020-9967 : Alex Plaskett (@alexjplaskett).

Noyau

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2020-9975 : Tielei Wang du Pangu Lab.

Noyau

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de concurrence a été résolu par une meilleure gestion des états.

CVE-2020-27921 : Linus Henze (pinauten.de).

Noyau

Disponible pour : macOS Mojave 10.14.6, macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : une application malveillante peut provoquer des changements inattendus dans la mémoire associée aux processus suivis par DTrace.

Description : ce problème a été résolu par l’application de meilleures vérifications pour éviter les actions non autorisées.

CVE-2020-27949 : Steffen Klee (@_kleest) du Secure Mobile Networking Lab de l’université de technologie de Darmstadt

Noyau

Disponible pour : macOS Big Sur 11.0.1

Conséquence : une application malveillante peut être en mesure d’augmenter les privilèges.

Description : ce problème a été résolu par l’application d’autorisations améliorées.

CVE-2020-29620 : Csaba Fitzl (@theevilbit) d’Offensive Security

libxml2

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : un attaquant distant peut être en mesure de provoquer la fermeture inopinée d’une application ou l’exécution arbitraire de code.

Description : un problème de dépassement d’entier a été résolu par une meilleure validation des entrées.

CVE-2020-27911 : OSS-Fuzz.

libxml2

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution de code.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2020-27920 : OSS-Fuzz.

libxml2

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement de contenu web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2020-27926 : OSS-Fuzz

libxpc

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application malveillante peut être en mesure de quitter sa sandbox.

Description : un problème d’analyse de la gestion des chemins d’accès aux répertoires a été résolu par une meilleure validation des chemins d’accès.

CVE-2020-10014 : Zhipeng Huo (@R3dF09) du Tencent Security Xuanwu Lab.

Consignation

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : un attaquant local peut être en mesure d’augmenter ses privilèges.

Description : un problème de gestion des chemins a été résolu par une meilleure validation.

CVE-2020-10010 : Tommy Muir (@Muirey03).

Fenêtre d’ouverture de session

Disponible pour : macOS Big Sur 11.0.1

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut contourner la politique d’authentification.

Description : un problème d’authentification a été résolu grâce à une meilleure gestion des états.

CVE-2020-29633 : Jewel Lambert d’Original Spin, LLC.

Entrée ajoutée le 1er février 2021

E/S du modèle

Disponible pour : macOS Big Sur 11.0.1

Conséquence : le traitement d’un fichier malveillant peut entraîner une corruption de tas.

Description : ce problème a été résolu par la réalisation de meilleures vérifications.

CVE-2020-29614 : ZhiWei Sun (@5n1p3r0010) de Topsec Alpha Lab

Entrée ajoutée le 1er février 2021

E/S du modèle

Disponible pour : macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier USD malveillant peut entraîner l’arrêt inopiné d’applications ou l’exécution arbitraire de code.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2020-13520 : Aleksandar Nikolic de Cisco Talos

Entrée ajoutée le 1er février 2021

E/S du modèle

Disponible pour : macOS Catalina 10.15.7 et macOS Big Sur 11.0.1

Conséquence : le traitement d’un fichier USD malveillant peut entraîner l’arrêt inopiné d’applications ou l’exécution arbitraire de code.

Description : un problème de dépassement de la mémoire tampon a été résolu par une meilleure gestion de la mémoire.

CVE-2020-9972 : Aleksandar Nikolic de Cisco Talos

Entrée ajoutée le 1er février 2021

E/S du modèle

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un fichier USD malveillant peut entraîner l’arrêt inopiné d’applications ou l’exécution arbitraire de code.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2020-13524 : Aleksandar Nikolic de Cisco Talos.

E/S du modèle

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : l’ouverture d’un fichier malveillant peut entraîner l’arrêt inopiné d’applications ou l’exécution arbitraire de code.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-10004 : Aleksandar Nikolic de Cisco Talos.

NSRemoteView

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : un processus sandboxé peut contourner les restrictions en matière de sandboxing.

Description : un problème de logique a été résolu par de meilleures restrictions.

CVE-2020-27901 : Thijs Alkemade de Computest Research Division.

Gestion de l’alimentation

Disponible pour : macOS Big Sur 11.0.1

Conséquence : une application malveillante peut être en mesure d’augmenter les privilèges.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-27938 : Tim Michaud (@TimGMichaud) de Leviathan.

Entrée ajoutée le 1er février 2021

Gestion de l’alimentation

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-10007 : singi@theori en collaboration avec le programme Zero Day Initiative de Trend Micro.

Coup d’œil

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : le traitement d’un document malveillant peut entraîner une attaque par injection de code indirect.

Description : un problème d’accès a été résolu par l’application de meilleures restrictions d’accès.

CVE-2020-10012 : Heige de la KnownSec 404 Team (knownsec.com) et Bo Qu de Palo Alto Networks (paloaltonetworks.com)

Ruby

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : un attaquant distant peut être en mesure de modifier le système de fichiers.

Description : un problème de gestion des chemins a été résolu par une meilleure validation.

CVE-2020-27896 : un chercheur anonyme.

Préférences Système

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : un processus sandboxé peut contourner les restrictions en matière de sandboxing.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-10009 : Thijs Alkemade de Computest Research Division.

Stockage WebKit

Disponible pour : macOS Big Sur 11.0.1

Conséquence : un utilisateur peut ne pas être en mesure de supprimer la totalité de l’historique de navigation.

Description : l’option « Effacer historique, données de sites » n’efface pas l’historique. Ce problème a été résolu par une meilleure suppression des données.

CVE-2020-29623 : Simon Hunt d’OvalTwo LTD

Entrée ajoutée le 1er février 2021

WebRTC

Disponible pour : macOS Big Sur 11.0.1

Conséquence : le traitement de contenu web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2020-15969 : un chercheur anonyme

Wi-Fi

Disponible pour : macOS Mojave 10.14.6 et macOS Catalina 10.15.7

Conséquence : un attaquant peut être en mesure de contourner la fonctionnalité Managed Frame Protection.

Description : un problème de déni de service a été résolu par une meilleure gestion des états.

CVE-2020-27898 : Stephan Marais de l’université de Johannesbourg.

 

Remerciements supplémentaires

CoreAudio

Nous tenons à remercier JunDong Xie et Xingwei Lin de l’Ant Security Light-Year Lab pour leur aide.

Entrée ajoutée le 16 mars 2021

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: