אודות תוכן האבטחה של macOS Big Sur 11.0.1

מסמך זה מתאר את תוכן האבטחה של macOS Big Sur 11.0.1.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Big Sur 11.0.1

פורסם ב-12 בנובמבר 2020

AMD

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2020-27914: יו וואנג מ-Didi Research America

CVE-2020-27915: יו וואנג מ-Didi Research America

הרשומה נוספה ב-14 בדצמבר 2020

App Store

השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2020-27903: ז'יפנג הואו (‎@R3dF09) מ-Tencent Security Xuanwu Lab

Audio

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-27910: ג'ון-דונג שייה (JunDong Xie) ושינגווי לין (XingWei Lin) מ-Ant Security Light-Year Lab

Audio

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2020-27916: ג'ון-דונג שייה ושינגווי לין מ-Ant Security Light-Year Lab

Audio

השפעה: יישום זדוני עלול להצליח לקרוא זיכרון מוגבל

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9943: ג'ון-דונג שייה מ-Ant Group Light-Year Security Lab

Audio

השפעה: יישום עלול להצליח לקרוא זיכרון מוגבל

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9944: ג'ון-דונג שייה מ-Ant Group Light-Year Security Lab

Bluetooth

השפעה: תוקף מרוחק עלול לגרום לסיום בלתי צפוי של יישום או לפגם בזיכרון

תיאור: גלישות נומריות מרובות טופלו באמצעות אימות קלט משופר.

CVE-2020-27906: זואוז'י פאן (Zuozhi Fan)‏ (‎@pattern_F_‎) מ-Ant Group Tianqiong Security Lab

CFNetwork Cache

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2020-27945: ‏ז'ואו ליאנג מצוות Vulcan של Qihoo 360

הרשומה נוספה ב‑16 במרץ 2021

CoreAudio

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-27908: ג'ון-דונג שייה ושינגווי לין מ-Ant Security Light-Year Lab

CVE-2020-27909: חוקר אנונימי בעבודה עם Zero Day Initiative של Trend Micro, ג'ון-דונג שייה ושינג-וויי לין מ-Ant Security Light-Year Lab

CVE-2020-9960: ג'ון-דונג שייה ושינגווי לין מAnt Security-Light-Year Lab

הרשומה נוספה ב-14 בדצמבר 2020

CoreAudio

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2020-10017: פרנסיס בעבודה עם Zero Day Initiative של Trend Micro, ג'ון-דונג שייה מ-Ant Security Light-Year Lab

CoreCapture

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-9949:‏ Proteas

CoreGraphics

השפעה: עיבוד מסמך PDF בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2020-9897: ‏S.Y. מ-ZecOps Mobile XDR, חוקר אנונימי

הערך נוסף ב-25 באוקטובר 2021

CoreGraphics

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2020-9883: חוקר אנונימי, מיקי ג'ין (Mickey Jin) מ-Trend Micro

Crash Reporter

השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: הייתה בעיה בלוגיקה של אימות נתיבים עבור קישורים סימבוליים. בעיה זו טופלה באמצעות סניטציה משופרת של נתיבים.

CVE-2020-10003: טים מישו (Tim Michaud)‏ (‎@TimGMichaud) מ-Leviathan

CoreText

השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2020-27922: מיקי ג'ין מ-Trend Micro

הרשומה נוספה ב-14 בדצמבר 2020

CoreText

השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9999:‏ Apple

הרשומה עודכנה ב-14 בדצמבר 2020

Directory Utility‏

השפעה: ייתכן כי יישום זדוני יוכל לגשת למידע פרטי

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2020-27937: וויצ'ך רגולה (‎@_r3ggi) מ-SecuRing

הרשומה נוספה ב‑16 במרץ 2021

Disk Images

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-9965:‏ Proteas

CVE-2020-9966:‏ Proteas

Finder

השפעה: ייתכן שמשתמשים לא יוכלו להסיר מטא-נתונים המציינים מהיכן הורדו קבצים

תיאור: הבעיה טופלה בעזרת פקדי משתמשים נוספים.

CVE-2020-27894: מנואל טרצה (Manuel Trezza) מ-Shuggr‏ (shuggr.com)

FontParser

השפעה: עיבוד גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-36615: פיטר נגויאן הואנג וו (@peternguyen14) מ-STAR Labs

הערך נוסף ב‑11 במאי 2023

FontParser

השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2021-1790: פיטר נגויאן וו הואנג מ-STAR Labs

הרשומה נוספה ב-25 במאי 2022

FontParser

השפעה: עיבוד גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2021-1775: מיקי ג'ין וצ'י סון מ-Trend Micro בעבודה עם Zero Day Initiative של Trend Micro

הערך נוסף ב-25 באוקטובר 2021

FontParser

השפעה: יישום זדוני עלול להצליח לקרוא זיכרון מוגבל

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-29629: חוקר אנונימי

הערך נוסף ב-25 באוקטובר 2021

FontParser

השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2020-27942: חוקר אנונימי

הערך נוסף ב-25 באוקטובר 2021

FontParser

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: גלישת חוצץ טופלה ואימות הגודל שופר.

CVE-2020-9962: ‏ייגיט ג'ן ילמז ‏(‎@yilmazcanyigit)

הרשומה נוספה ב-14 בדצמבר 2020

FontParser

השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2020-27952: חוקר אנונימי, מיקי ג'ין וג'ון-ג'י לו מ-Trend Micro

הרשומה נוספה ב-14 בדצמבר 2020

FontParser

השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-9956: מיקי ג'ין וג'ון-ג'י לו מצוות המחקר לאבטחת מכשירים ניידים של Trend Micro יחד עם Zero Day Initiative של Trend Micro

הרשומה נוספה ב-14 בדצמבר 2020

FontParser

השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: הייתה בעיה של השחתת זיכרון בעיבוד של קובצי גופנים. בעיה זו טופלה באמצעות אימות קלט משופר.

CVE-2020-27931:‏ Apple

הרשומה נוספה ב-14 בדצמבר 2020

FontParser

השפעה: עיבוד גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי. Apple מודעת לדיווחים על ניצול הבעיה בקרב הציבור.

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2020-27930: ‏Google Project Zero

FontParser

השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-27927: שינגווי לין מ-Ant Security Light-Year Lab

FontParser

השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-29639: מיקי ג'ין וצ'י סון מ‑Trend Micro בעבודה עם Zero Day Initiative של Trend Micro

הרשומה נוספה ב-21 ביולי 2021

Foundation

השפעה: משתמש מקומי עלול להצליח לקרוא קבצים שרירותיים

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2020-10002: ג'יימס האצ'ינס (James Hutchins)

HomeKit

השפעה: ייתכן שתוקף במיקום מורשה ברשת יוכל לשנות מצב יישום באופן בלתי צפוי

תיאור: בעיה זו טופלה באמצעות הפצה משופרת של הגדרות.

CVE-2020-9978: לו-יי שינג, דונגפאנג ז'או ושיאופנג וונג מאוניברסיטת אינדיאנה בלומינגטון, יאן ג'יה מאוניברסיטת שידיאן ומהאקדמיה הסינית למדעים ובין יואן מאוניברסיטת הואה-ג'ונג למדעים ולטכנולוגיה

הרשומה נוספה ב-14 בדצמבר 2020

ImageIO

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9955‏: מיקי ג'ין מ-Trend Micro, שינגווי לין מ-Ant Security Light-Year Lab

הרשומה נוספה ב-14 בדצמבר 2020

ImageIO

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-27924: ליי סון

הרשומה נוספה ב-14 בדצמבר 2020

ImageIO

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2020-27912: שינגווי לין מ-Ant Security Light-Year Lab

CVE-2020-27923: ליי סון

הרשומה עודכנה ב-14 בדצמבר 2020

ImageIO

השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9876‏: מיקי ג'ין מ-Trend Micro

Intel Graphics Driver

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-10015:‏ ABC Research s.r.o.‎ יחד עם Zero Day Initiative של Trend Micro

CVE-2020-27897: שיאולונג באי ומין ("ספארק") ז'נג מ-Alibaba Inc.‎ ולו-יי שינג מאוניברסיטת אינדיאנה בלומינגטון

הרשומה נוספה ב-14 בדצמבר 2020

Intel Graphics Driver

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2020-27907: ‏ABC Research s.r.o.‎ בעבודה עם Zero Day Initiative של Trend Micro, ליו לונג מ-Ant Security Light-Year Lab

הרשומה נוספה ב-14 בדצמבר 2020, עודכנה ב-16 במרץ 2021

Image Processing

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2020-27919: האו ז'ינג-ג'י(‎@hjy79425575) מ-Qihoo 360 CERT, שינגווי לין מ-Ant Security Light-Year Lab

הרשומה נוספה ב-14 בדצמבר 2020

Kernel

השפעה: תוקף מרחוק עלול לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.

CVE-2020-9967‏: אלכס פלאסקט (‎@alexjplaskett)

הרשומה נוספה ב-14 בדצמבר 2020

Kernel

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-9975‏: טייליי וואנג מ-Pangu Lab

הרשומה נוספה ב-14 בדצמבר 2020

Kernel

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מצב מירוץ טופל באמצעות טיפול משופר במצבים.

CVE-2020-27921:‏ לינוס הנצה (pinauten.de)

הרשומה נוספה ב-14 בדצמבר 2020

Kernel

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיה לוגית שהייתה קיימת גרמה להשחתת זיכרון. בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2020-27904: זואוז'י פאן (‎@pattern_F_‎) מ-Ant Group Tianqong Security Lab

Kernel

השפעה: ייתכן שתוקף במיקום מורשה ברשת יוכל לבצע החדרה לחיבורים פעילים במנהרת VPN

תיאור: בעיית ניתוב טופלה באמצעות הגבלות משופרות.

CVE-2019-14899: ויליאם ג' טולי, בו קויאת וג'דדיה ר' קרנדל

Kernel

השפעה: יישום זדוני עלול לחשוף את זיכרון הליבה. Apple מודעת לדיווחים על ניצול הבעיה בקרב הציבור.

תיאור: בעיית אתחול זיכרון טופלה.

CVE-2020-27950: ‏Google Project Zero

Kernel

השפעה: יישום זדוני עלול להצליח לקבוע את פריסת זיכרון הליבה

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9974: טומי מוייר (Tommy Muir)‏ (‎@Muirey03)

Kernel

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2020-10016: אלכס הלי (Alex Helie)

Kernel

השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה. Apple מודעת לדיווחים על ניצול הבעיה בקרב הציבור.

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר במצב.

CVE-2020-27932: ‏Google Project Zero

libxml2

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-27917: התגלה על-ידי OSS-Fuzz

CVE-2020-27920: התגלה על-ידי OSS-Fuzz

הרשומה עודכנה ב-14 בדצמבר 2020

libxml2

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2020-27911: התגלה על-ידי OSS-Fuzz

libxpc

השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.

CVE-2020-9971‏: ז'יפנג הואו (‎@R3dF09) מ-Tencent Security Xuanwu Lab

הרשומה נוספה ב-14 בדצמבר 2020

libxpc

השפעה: יישום זדוני עלול להצליח לצאת מתוך ארגז החול

תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.

CVE-2020-10014: ז'יפנג הואו (‎@R3dF09) מ-Tencent Security Xuanwu Lab

Logging

השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2020-10010: טומי מוייר (‎@Muirey03)

Mail

השפעה: תוקף מרוחק עלול להצליח לשנות מצב של יישום באופן בלתי צפוי

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-9941: פביאן איסינג (Fabian Ising) מ-FH Münster University of Applied Sciences ודמיאן פודבניאק (Damian Poddebniak) מ-FH Münster University of Applied Sciences

Messages

השפעה: משתמש מקומי עלול להצליח לגלות הודעות משתמש שנמחקו

תיאור: הבעיה טופלה באמצעות שיפור מחיקה.

CVE-2020-9988: ויליאם ברויאר (William Breuer) מהולנד

CVE-2020-9989:‏ von Brunn Media

Model I/O

השפעה: עיבוד של קובץ USD שנוצר באופן זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-10011: אלכסנדר ניקוליץ' מ-Cisco Talos

הרשומה נוספה ב-14 בדצמבר 2020

Model I/O

השפעה: עיבוד של קובץ USD שנוצר באופן זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-13524: אלכסנדר ניקוליץ' (Aleksandar Nikolic) מ-Cisco Talos

Model I/O

השפעה: פתיחת קובץ בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2020-10004: אלכסנדר ניקוליץ' מ-Cisco Talos

NetworkExtension

השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-9996: ז'יוואי יואן מ-Trend Micro iCore Team, ג'ונז'י לו ומיקי ג'ין מ-Trend Micro

NSRemoteView

השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2020-27901: תייס אלקמדה ממחלקת המחקר של Computest

הרשומה נוספה ב-14 בדצמבר 2020

NSRemoteView

השפעה: יישום זדוני עלול להצליח להציג בתצוגה מקדימה קבצים שאין לו גישה אליהם

תיאור: הייתה בעיה בטיפול בתמונות מצב. הבעיה טופלה באמצעות לוגיקת הרשאות משופרת.

CVE-2020-27900: תייס אלקמדה (Thijs Alkemade) מ-Computest Research Division

PCRE

השפעה: מספר בעיות ב-pcre

תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 8.44.

CVE-2019-20838

CVE-2020-14155

Power Management

השפעה: יישום זדוני עלול להצליח לקבוע את פריסת זיכרון הליבה

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2020-10007:‏ singi@theori יחד עם Trend Micro Zero Day Initiative

python

השפעה: קובצי Cookie השייכים למקור אחד עלולים להישלח למקור אחר

תיאור: מספר בעיות טופלו באמצעות לוגיקה משופרת.

CVE-2020-27896: חוקר אנונימי

Quick Look

השפעה: יישום זדוני עלול להצליח לקבוע את קיומם של קבצים במחשב

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון של אייקונים.

CVE-2020-9963: סאבה פיצל (Csaba Fitzl)‏ (‎@theevilbit) מ-Offensive Security

Quick Look

השפעה: עיבוד של מסמך בעל מבנה זדוני עלול לגרום להתקפת Scripting בין אתרים

תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.

CVE-2020-10012: הייגה מצוות 404 של -KnownSec‏‏ (knownsec.com) ובו קו מ-Palo Alto Networks‏ (paloaltonetworks.com)

הרשומה עודכנה ב-16 במרץ 2021

Ruby

השפעה: תוקף מרוחק עלול להצליח לשנות את מערכת הקבצים

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2020-27896: חוקר אנונימי

Ruby

השפעה: בעת ניתוח של מסמכי JSON מסוימים, ניתן לכפות על json gem ליצור אובייקטים שרירותיים במערכת היעד

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-10663: ג'רמי אוונס (Jeremy Evans)

Safari

השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות

תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.

CVE-2020-9945: נרנדרה בהאטי מ-Suma Soft Pvt.‎ Ltd.‎ בפונה (הודו) ‎@imnarendrabhati

Safari

השפעה: יישום זדוני עלול להצליח לזהות כרטיסיות פתוחות של משתמש ב-Safari

תיאור: בעיית אימות קיימת בטיפול באימות זכאות. בעיה זו תוקנה באמצעות אימות משופר של תהליך הזכאות.

CVE-2020-9977: ג'וש פרנהאם (Josh Parnham)‏ (‎@joshparnham)

Safari

השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות

תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9942: חוקר אנונימי, ראול ד' קנקראלה (servicenger.com), ראיאן ביג'ורה (‎@Bijoora) מ-The City School, PAF Chapter, רואילין יאנג מ-Tencent Security Xuanwu Lab, יוקו קהו (‎@YoKoAcc) מ-PT Telekomunikasi Indonesia (Persero) Tbk, ז'יאנג זנג (‎@Wester) מ-OPPO ZIWU Security Lab

Safari

השפעה: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר

תיאור: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות.

CVE-2020-9987: ראפי באלוץ' (cybercitadel.com) מ-Cyber Citadel

הרשומה נוספה ב-21 ביולי 2021

Sandbox

השפעה: ייתכן שיישום מקומי יוכל למספר את מסמכי iCloud של המשתמש

תיאור: הבעיה טופלה באמצעות שיפור הלוגיקה של ההרשאות.

CVE-2021-1803: סאבה פיצל (‎@theevilbit) מ-Offensive Security

הרשומה נוספה ב‑16 במרץ 2021

Sandbox

השפעה: משתמש מקומי עלול להצליח לצפות במידע רגיש אודות משתמש

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2020-9969: וויצ'ך רגולה (Wojciech Reguła) מ-SecuRing‏ (wojciechregula.blog)

Screen Sharing

השפעה: ייתכן שמשתמש עם גישה לשיתוף מסך יוכל להציג מסך של משתמש אחר

תיאור: הייתה בעיה בשיתוף מסך. בעיה זו טופלה באמצעות ניהול מצב משופר.

CVE-2020-27893: ‏pcsgomes

הרשומה נוספה ב‑16 במרץ 2021

Siri

השפעה: אדם שיש לו גישה פיזית למכשיר iOS עשוי להצליח להיכנס לתכנים ממסך הנעילה

תיאור: בעיה במסך הנעילה אפשרה גישה לאנשי קשר במכשיר נעול. בעיה זו טופלה באמצעות ניהול מצב משופר.

CVE-2021-1755: יובל רון, עמיחי שולמן ואלי ביהם מהטכניון - מכון טכנולוגי לישראל

הרשומה נוספה ב‑16 במרץ 2021

smbx

השפעה: ייתכן שתוקף במיקום מורשה ברשת יוכל לבצע מניעת שירות

תיאור: בעיה של מיצוי משאבים טופלה באמצעות אימות קלט משופר.

CVE-2020-10005:‏ Apple

הערך נוסף ב-25 באוקטובר 2021

SQLite

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-9991

SQLite

השפעה: תוקף מרוחק עלול להצליח להדליף זיכרון

תיאור: בעיית חשיפת מידע טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9849

SQLite

השפעה: מספר בעיות ב-SQLite

תיאור: מספר בעיות טופלו באמצעות בדיקות משופרות.

CVE-2020-15358

SQLite

השפעה: שאילתת SQL בעלת מבנה זדוני עלולה להוביל להשחתת נתונים

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-13631

SQLite

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

SQLite

השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2020-13630

Symptom Framework

השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-27899: ‏08Tc3wBB בעבודה עם ZecOps

הרשומה נוספה ב-14 בדצמבר 2020

System Preferences

השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2020-10009: תייס אלקמדה מ-Computest Research Division

TCC

השפעה: ייתכן שיישום זדוני עם הרשאות בסיס יוכל לקבל גישה למידע פרטי

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2020-10008: וויצ'ך רגולה מ-SecuRing‏ (wojciechregula.blog)

הרשומה נוספה ב-14 בדצמבר 2020

WebKit

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-27918: ליו לונג מ-Ant Security Light-Year Lab

הרשומה עודכנה ב-14 בדצמבר 2020

WebKit

השפעה: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון

תיאור: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי.

CVE-2020-9947: ‏cc יחד עם Zero Day Initiative של Trend Micro

CVE-2020-9950: ‏cc יחד עם Zero Day Initiative של Trend Micro

הרשומה נוספה ב-21 ביולי 2021

Wi-Fi

השפעה: תוקף עלול להצליח לעקוף הגנה של מסגרות מנוהלות

תיאור: בעיית מניעת שירות טופלה באמצעות טיפול משופר במצב.

CVE-2020-27898: סטפן מאריי (Stephan Marais) מאוניברסיטת יוהנסבורג

XNU

השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'

תיאור: מספר בעיות טופלו באמצעות לוגיקה משופרת.

CVE-2020-27935: ליאור חלפון (‎@LIJI32)

הרשומה נוספה ב-17 בדצמבר 2020

Xsan

השפעה: יישום זדוני עלול להצליח לגשת לקבצים מוגבלים

תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.

CVE-2020-10006: וויצ'ך רגולה (‎@_r3ggi) מ-SecuRing

תודות נוספות

802.1X

אנחנו מבקשים להודות לכנאנה דאלה מאוניברסיטת חמד בין ח'ליפה ולריאן ריילי מאוניברסיטת קרנגי מלון בקטאר על הסיוע.

הרשומה נוספה ב-14 בדצמבר 2020

Audio

אנחנו מבקשים להודות לג'ון-דונג שייה ולשינג-וויי לין מ-Ant-Financial Light-Year Security Lab, ולמארק שונפלד, ד"ר למדעי הטבע, על הסיוע.

הרשומה עודכנה ב-16 במרץ 2021

Bluetooth

אנחנו מבקשים להודות לאנדי דייוויס מ-NCC Group, לדניס היינצה (‎@ttdennis) מהאוניברסיטה הטכנית של דמרשטאדט ול-Secure Mobile Networking Lab על הסיוע.

הרשומה עודכנה ב-14 בדצמבר 2020

Clang

אנחנו מבקשים להודות לברנדון אזאד (Brandon Azad) מ-Google Project Zero על הסיוע.

Core Location

ברצוננו להודות לייגיט קאן יילמז (Yiğit Can YILMAZ)‏ (‎@yilmazcanyigit) על העזרה.

Crash Reporter

אנחנו מבקשים להודות לארתור ביסקו מ-AFINE על הסיוע.

הרשומה נוספה ב-14 בדצמבר 2020

Directory Utility‏

אנחנו מבקשים להודות לוויצ'ך רגולה ‏(‎@_r3ggi) מ-SecuRing על הסיוע.

iAP

אנחנו מבקשים להודות לאנדי דייוויס מ-NCC Group על הסיוע.

Kernel

אנחנו מבקשים להודות לברנדון אזאד מ-Google Project Zero ולסטפן רוטגר מ-Google על הסיוע.

libxml2

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

הרשומה נוספה ב-14 בדצמבר 2020

Login Window

אנחנו מבקשים להודות לרוב מורטון מ-Leidos על הסיוע.

הרשומה נוספה ב‑16 במרץ 2021

Login Window

אנחנו מבקשים להודות לרוב מורטון מ-Leidos על הסיוע.

Photos Storage

אנחנו מבקשים להודות לפאולוס ייבלו מ-LimeHats על הסיוע.

Quick Look

אנחנו מבקשים להודות לסאבה פיצל (‎@theevilbit) ולוויצ'ך רגולה מ-SecuRing (wojciechregula.blog) על הסיוע.

Safari

אנחנו מבקשים להודות לגבריאל קורונה ולנרנדרה בהאטי מ-Suma Soft Pvt.‎ Ltd.‎ בפונה (הודו) ‎@imnarendrabhati על הסיוע.

Sandbox

אנחנו מבקשים להודות לסאאגר ג'ה על הסיוע.

הערך נוסף ב‑11 במאי 2023

Security

אנחנו מבקשים להודות לכריסטיאן סטארקיוהן מ-Objective Development Software GmbH על הסיוע.

System Preferences

אנחנו מבקשים להודות לסאבה פיצל (‎@theevilbit) מ-Offensive Security על הסיוע.

הערך נוסף ב‑16 במרץ 2021

System Preferences

אנחנו מבקשים להודות לסאבה פיצל (‎@theevilbit) מ-Offensive Security על הסיוע.

WebKit

מקסימיליאן בלוכברגר מ‑Security in Distributed Systems Group באוניברסיטת המבורג

הערך נוסף ב‑25 במאי 2022

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: 31 באוקטובר 2023