אודות תוכן האבטחה של macOS Big Sur 11.0.1
מסמך זה מתאר את תוכן האבטחה של macOS Big Sur 11.0.1.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Big Sur 11.0.1
AMD
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2020-27914: יו וואנג מ-Didi Research America
CVE-2020-27915: יו וואנג מ-Didi Research America
App Store
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2020-27903: ז'יפנג הואו (@R3dF09) מ-Tencent Security Xuanwu Lab
Audio
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-27910: ג'ון-דונג שייה (JunDong Xie) ושינגווי לין (XingWei Lin) מ-Ant Security Light-Year Lab
Audio
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2020-27916: ג'ון-דונג שייה ושינגווי לין מ-Ant Security Light-Year Lab
Audio
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום זדוני עלול להצליח לקרוא זיכרון מוגבל
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-9943: ג'ון-דונג שייה מ-Ant Group Light-Year Security Lab
Audio
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום עלול להצליח לקרוא זיכרון מוגבל
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-9944: ג'ון-דונג שייה מ-Ant Group Light-Year Security Lab
Bluetooth
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: תוקף מרוחק עלול לגרום לסיום בלתי צפוי של יישום או לפגם בזיכרון
תיאור: גלישות נומריות מרובות טופלו באמצעות אימות קלט משופר.
CVE-2020-27906: זואוז'י פאן (Zuozhi Fan) (@pattern_F_) מ-Ant Group Tianqiong Security Lab
CFNetwork Cache
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2020-27945: ז'ואו ליאנג מצוות Vulcan של Qihoo 360
CoreAudio
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-27908: ג'ון-דונג שייה ושינגווי לין מ-Ant Security Light-Year Lab
CVE-2020-27909: חוקר אנונימי בעבודה עם Zero Day Initiative של Trend Micro, ג'ון-דונג שייה ושינג-וויי לין מ-Ant Security Light-Year Lab
CVE-2020-9960: ג'ון-דונג שייה ושינגווי לין מAnt Security-Light-Year Lab
CoreAudio
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2020-10017: פרנסיס בעבודה עם Zero Day Initiative של Trend Micro, ג'ון-דונג שייה מ-Ant Security Light-Year Lab
CoreCapture
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2020-9949: Proteas
CoreGraphics
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד מסמך PDF בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2020-9897: S.Y. מ-ZecOps Mobile XDR, חוקר אנונימי
CoreGraphics
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2020-9883: חוקר אנונימי, מיקי ג'ין (Mickey Jin) מ-Trend Micro
Crash Reporter
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: הייתה בעיה בלוגיקה של אימות נתיבים עבור קישורים סימבוליים. בעיה זו טופלה באמצעות סניטציה משופרת של נתיבים.
CVE-2020-10003: טים מישו (Tim Michaud) (@TimGMichaud) מ-Leviathan
CoreText
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2020-27922: מיקי ג'ין מ-Trend Micro
CoreText
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2020-9999: Apple
Directory Utility
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: ייתכן כי יישום זדוני יוכל לגשת למידע פרטי
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2020-27937: וויצ'ך רגולה (@_r3ggi) מ-SecuRing
Disk Images
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-9965: Proteas
CVE-2020-9966: Proteas
Finder
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: ייתכן שמשתמשים לא יוכלו להסיר מטא-נתונים המציינים מהיכן הורדו קבצים
תיאור: הבעיה טופלה בעזרת פקדי משתמשים נוספים.
CVE-2020-27894: מנואל טרצה (Manuel Trezza) מ-Shuggr (shuggr.com)
FontParser
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-36615: פיטר נגויאן הואנג וו (@peternguyen14) מ-STAR Labs
FontParser
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2021-1790: פיטר נגויאן וו הואנג מ-STAR Labs
FontParser
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2021-1775: מיקי ג'ין וצ'י סון מ-Trend Micro בעבודה עם Zero Day Initiative של Trend Micro
FontParser
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום זדוני עלול להצליח לקרוא זיכרון מוגבל
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-29629: חוקר אנונימי
FontParser
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2020-27942: חוקר אנונימי
FontParser
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: גלישת חוצץ טופלה ואימות הגודל שופר.
CVE-2020-9962: ייגיט ג'ן ילמז (@yilmazcanyigit)
FontParser
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2020-27952: חוקר אנונימי, מיקי ג'ין וג'ון-ג'י לו מ-Trend Micro
FontParser
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-9956: מיקי ג'ין וג'ון-ג'י לו מצוות המחקר לאבטחת מכשירים ניידים של Trend Micro יחד עם Zero Day Initiative של Trend Micro
FontParser
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: הייתה בעיה של השחתת זיכרון בעיבוד של קובצי גופנים. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2020-27931: Apple
FontParser
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי. Apple מודעת לדיווחים על ניצול הבעיה בקרב הציבור.
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2020-27930: Google Project Zero
FontParser
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-27927: שינגווי לין מ-Ant Security Light-Year Lab
FontParser
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-29639: מיקי ג'ין וצ'י סון מ‑Trend Micro בעבודה עם Zero Day Initiative של Trend Micro
Foundation
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: משתמש מקומי עלול להצליח לקרוא קבצים שרירותיים
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2020-10002: ג'יימס האצ'ינס (James Hutchins)
HomeKit
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: ייתכן שתוקף במיקום מורשה ברשת יוכל לשנות מצב יישום באופן בלתי צפוי
תיאור: בעיה זו טופלה באמצעות הפצה משופרת של הגדרות.
CVE-2020-9978: לו-יי שינג, דונגפאנג ז'או ושיאופנג וונג מאוניברסיטת אינדיאנה בלומינגטון, יאן ג'יה מאוניברסיטת שידיאן ומהאקדמיה הסינית למדעים ובין יואן מאוניברסיטת הואה-ג'ונג למדעים ולטכנולוגיה
ImageIO
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-9955: מיקי ג'ין מ-Trend Micro, שינגווי לין מ-Ant Security Light-Year Lab
ImageIO
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-27924: ליי סון
ImageIO
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2020-27912: שינגווי לין מ-Ant Security Light-Year Lab
CVE-2020-27923: ליי סון
ImageIO
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-9876: מיקי ג'ין מ-Trend Micro
Intel Graphics Driver
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-10015: ABC Research s.r.o. יחד עם Zero Day Initiative של Trend Micro
CVE-2020-27897: שיאולונג באי ומין ("ספארק") ז'נג מ-Alibaba Inc. ולו-יי שינג מאוניברסיטת אינדיאנה בלומינגטון
Intel Graphics Driver
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2020-27907: ABC Research s.r.o. בעבודה עם Zero Day Initiative של Trend Micro, ליו לונג מ-Ant Security Light-Year Lab
Image Processing
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2020-27919: האו ז'ינג-ג'י(@hjy79425575) מ-Qihoo 360 CERT, שינגווי לין מ-Ant Security Light-Year Lab
Kernel
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: תוקף מרחוק עלול לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.
CVE-2020-9967: אלכס פלאסקט (@alexjplaskett)
Kernel
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2020-9975: טייליי וואנג מ-Pangu Lab
Kernel
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מירוץ טופל באמצעות טיפול משופר במצבים.
CVE-2020-27921: לינוס הנצה (pinauten.de)
Kernel
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיה לוגית שהייתה קיימת גרמה להשחתת זיכרון. בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2020-27904: זואוז'י פאן (@pattern_F_) מ-Ant Group Tianqong Security Lab
Kernel
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: ייתכן שתוקף במיקום מורשה ברשת יוכל לבצע החדרה לחיבורים פעילים במנהרת VPN
תיאור: בעיית ניתוב טופלה באמצעות הגבלות משופרות.
CVE-2019-14899: ויליאם ג' טולי, בו קויאת וג'דדיה ר' קרנדל
Kernel
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום זדוני עלול לחשוף את זיכרון הליבה. Apple מודעת לדיווחים על ניצול הבעיה בקרב הציבור.
תיאור: בעיית אתחול זיכרון טופלה.
CVE-2020-27950: Google Project Zero
Kernel
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום זדוני עלול להצליח לקבוע את פריסת זיכרון הליבה
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2020-9974: טומי מוייר (Tommy Muir) (@Muirey03)
Kernel
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2020-10016: אלכס הלי (Alex Helie)
Kernel
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה. Apple מודעת לדיווחים על ניצול הבעיה בקרב הציבור.
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר במצב.
CVE-2020-27932: Google Project Zero
libxml2
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2020-27917: התגלה על-ידי OSS-Fuzz
CVE-2020-27920: התגלה על-ידי OSS-Fuzz
libxml2
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2020-27911: התגלה על-ידי OSS-Fuzz
libxpc
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.
CVE-2020-9971: ז'יפנג הואו (@R3dF09) מ-Tencent Security Xuanwu Lab
libxpc
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום זדוני עלול להצליח לצאת מתוך ארגז החול
תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.
CVE-2020-10014: ז'יפנג הואו (@R3dF09) מ-Tencent Security Xuanwu Lab
Logging
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2020-10010: טומי מוייר (@Muirey03)
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: תוקף מרוחק עלול להצליח לשנות מצב של יישום באופן בלתי צפוי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2020-9941: פביאן איסינג (Fabian Ising) מ-FH Münster University of Applied Sciences ודמיאן פודבניאק (Damian Poddebniak) מ-FH Münster University of Applied Sciences
Messages
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: משתמש מקומי עלול להצליח לגלות הודעות משתמש שנמחקו
תיאור: הבעיה טופלה באמצעות שיפור מחיקה.
CVE-2020-9988: ויליאם ברויאר (William Breuer) מהולנד
CVE-2020-9989: von Brunn Media
Model I/O
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד של קובץ USD שנוצר באופן זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-10011: אלכסנדר ניקוליץ' מ-Cisco Talos
Model I/O
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד של קובץ USD שנוצר באופן זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-13524: אלכסנדר ניקוליץ' (Aleksandar Nikolic) מ-Cisco Talos
Model I/O
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: פתיחת קובץ בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2020-10004: אלכסנדר ניקוליץ' מ-Cisco Talos
NetworkExtension
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2020-9996: ז'יוואי יואן מ-Trend Micro iCore Team, ג'ונז'י לו ומיקי ג'ין מ-Trend Micro
NSRemoteView
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2020-27901: תייס אלקמדה ממחלקת המחקר של Computest
NSRemoteView
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום זדוני עלול להצליח להציג בתצוגה מקדימה קבצים שאין לו גישה אליהם
תיאור: הייתה בעיה בטיפול בתמונות מצב. הבעיה טופלה באמצעות לוגיקת הרשאות משופרת.
CVE-2020-27900: תייס אלקמדה (Thijs Alkemade) מ-Computest Research Division
PCRE
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: מספר בעיות ב-pcre
תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 8.44.
CVE-2019-20838
CVE-2020-14155
Power Management
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום זדוני עלול להצליח לקבוע את פריסת זיכרון הליבה
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2020-10007: singi@theori יחד עם Trend Micro Zero Day Initiative
python
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: קובצי Cookie השייכים למקור אחד עלולים להישלח למקור אחר
תיאור: מספר בעיות טופלו באמצעות לוגיקה משופרת.
CVE-2020-27896: חוקר אנונימי
Quick Look
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום זדוני עלול להצליח לקבוע את קיומם של קבצים במחשב
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון של אייקונים.
CVE-2020-9963: סאבה פיצל (Csaba Fitzl) (@theevilbit) מ-Offensive Security
Quick Look
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד של מסמך בעל מבנה זדוני עלול לגרום להתקפת Scripting בין אתרים
תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.
CVE-2020-10012: הייגה מצוות 404 של -KnownSec (knownsec.com) ובו קו מ-Palo Alto Networks (paloaltonetworks.com)
Ruby
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: תוקף מרוחק עלול להצליח לשנות את מערכת הקבצים
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2020-27896: חוקר אנונימי
Ruby
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: בעת ניתוח של מסמכי JSON מסוימים, ניתן לכפות על json gem ליצור אובייקטים שרירותיים במערכת היעד
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2020-10663: ג'רמי אוונס (Jeremy Evans)
Safari
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2020-9945: נרנדרה בהאטי מ-Suma Soft Pvt. Ltd. בפונה (הודו) @imnarendrabhati
Safari
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום זדוני עלול להצליח לזהות כרטיסיות פתוחות של משתמש ב-Safari
תיאור: בעיית אימות קיימת בטיפול באימות זכאות. בעיה זו תוקנה באמצעות אימות משופר של תהליך הזכאות.
CVE-2020-9977: ג'וש פרנהאם (Josh Parnham) (@joshparnham)
Safari
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.
CVE-2020-9942: חוקר אנונימי, ראול ד' קנקראלה (servicenger.com), ראיאן ביג'ורה (@Bijoora) מ-The City School, PAF Chapter, רואילין יאנג מ-Tencent Security Xuanwu Lab, יוקו קהו (@YoKoAcc) מ-PT Telekomunikasi Indonesia (Persero) Tbk, ז'יאנג זנג (@Wester) מ-OPPO ZIWU Security Lab
Safari
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר
תיאור: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות.
CVE-2020-9987: ראפי באלוץ' (cybercitadel.com) מ-Cyber Citadel
Sandbox
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: ייתכן שיישום מקומי יוכל למספר את מסמכי iCloud של המשתמש
תיאור: הבעיה טופלה באמצעות שיפור הלוגיקה של ההרשאות.
CVE-2021-1803: סאבה פיצל (@theevilbit) מ-Offensive Security
Sandbox
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: משתמש מקומי עלול להצליח לצפות במידע רגיש אודות משתמש
תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.
CVE-2020-9969: וויצ'ך רגולה (Wojciech Reguła) מ-SecuRing (wojciechregula.blog)
Screen Sharing
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: ייתכן שמשתמש עם גישה לשיתוף מסך יוכל להציג מסך של משתמש אחר
תיאור: הייתה בעיה בשיתוף מסך. בעיה זו טופלה באמצעות ניהול מצב משופר.
CVE-2020-27893: pcsgomes
Siri
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: אדם שיש לו גישה פיזית למכשיר iOS עשוי להצליח להיכנס לתכנים ממסך הנעילה
תיאור: בעיה במסך הנעילה אפשרה גישה לאנשי קשר במכשיר נעול. בעיה זו טופלה באמצעות ניהול מצב משופר.
CVE-2021-1755: יובל רון, עמיחי שולמן ואלי ביהם מהטכניון - מכון טכנולוגי לישראל
smbx
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: ייתכן שתוקף במיקום מורשה ברשת יוכל לבצע מניעת שירות
תיאור: בעיה של מיצוי משאבים טופלה באמצעות אימות קלט משופר.
CVE-2020-10005: Apple
SQLite
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2020-9991
SQLite
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: תוקף מרוחק עלול להצליח להדליף זיכרון
תיאור: בעיית חשיפת מידע טופלה באמצעות ניהול מצבים משופר.
CVE-2020-9849
SQLite
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: מספר בעיות ב-SQLite
תיאור: מספר בעיות טופלו באמצעות בדיקות משופרות.
CVE-2020-15358
SQLite
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: שאילתת SQL בעלת מבנה זדוני עלולה להוביל להשחתת נתונים
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2020-13631
SQLite
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2020-13434
CVE-2020-13435
CVE-2020-9991
SQLite
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2020-13630
Symptom Framework
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2020-27899: 08Tc3wBB בעבודה עם ZecOps
System Preferences
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2020-10009: תייס אלקמדה מ-Computest Research Division
TCC
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: ייתכן שיישום זדוני עם הרשאות בסיס יוכל לקבל גישה למידע פרטי
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2020-10008: וויצ'ך רגולה מ-SecuRing (wojciechregula.blog)
WebKit
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2020-27918: ליו לונג מ-Ant Security Light-Year Lab
WebKit
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון
תיאור: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי.
CVE-2020-9947: cc יחד עם Zero Day Initiative של Trend Micro
CVE-2020-9950: cc יחד עם Zero Day Initiative של Trend Micro
Wi-Fi
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: תוקף עלול להצליח לעקוף הגנה של מסגרות מנוהלות
תיאור: בעיית מניעת שירות טופלה באמצעות טיפול משופר במצב.
CVE-2020-27898: סטפן מאריי (Stephan Marais) מאוניברסיטת יוהנסבורג
XNU
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'
תיאור: מספר בעיות טופלו באמצעות לוגיקה משופרת.
CVE-2020-27935: ליאור חלפון (@LIJI32)
Xsan
זמין עבור: Mac Pro (2013 ואילך), MacBook Air (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini (2014 ואילך), iMac (2014 ואילך), MacBook (2015 ואילך), iMac Pro (כל הדגמים)
השפעה: יישום זדוני עלול להצליח לגשת לקבצים מוגבלים
תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.
CVE-2020-10006: וויצ'ך רגולה (@_r3ggi) מ-SecuRing
תודות נוספות
802.1X
אנחנו מבקשים להודות לכנאנה דאלה מאוניברסיטת חמד בין ח'ליפה ולריאן ריילי מאוניברסיטת קרנגי מלון בקטאר על הסיוע.
Audio
אנחנו מבקשים להודות לג'ון-דונג שייה ולשינג-וויי לין מ-Ant-Financial Light-Year Security Lab, ולמארק שונפלד, ד"ר למדעי הטבע, על הסיוע.
Bluetooth
אנחנו מבקשים להודות לאנדי דייוויס מ-NCC Group, לדניס היינצה (@ttdennis) מהאוניברסיטה הטכנית של דמרשטאדט ול-Secure Mobile Networking Lab על הסיוע.
Clang
אנחנו מבקשים להודות לברנדון אזאד (Brandon Azad) מ-Google Project Zero על הסיוע.
Core Location
ברצוננו להודות לייגיט קאן יילמז (Yiğit Can YILMAZ) (@yilmazcanyigit) על העזרה.
Crash Reporter
אנחנו מבקשים להודות לארתור ביסקו מ-AFINE על הסיוע.
Directory Utility
אנחנו מבקשים להודות לוויצ'ך רגולה (@_r3ggi) מ-SecuRing על הסיוע.
iAP
אנחנו מבקשים להודות לאנדי דייוויס מ-NCC Group על הסיוע.
Kernel
אנחנו מבקשים להודות לברנדון אזאד מ-Google Project Zero ולסטפן רוטגר מ-Google על הסיוע.
libxml2
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
Login Window
אנחנו מבקשים להודות לרוב מורטון מ-Leidos על הסיוע.
Login Window
אנחנו מבקשים להודות לרוב מורטון מ-Leidos על הסיוע.
Photos Storage
אנחנו מבקשים להודות לפאולוס ייבלו מ-LimeHats על הסיוע.
Quick Look
אנחנו מבקשים להודות לסאבה פיצל (@theevilbit) ולוויצ'ך רגולה מ-SecuRing (wojciechregula.blog) על הסיוע.
Safari
אנחנו מבקשים להודות לגבריאל קורונה ולנרנדרה בהאטי מ-Suma Soft Pvt. Ltd. בפונה (הודו) @imnarendrabhati על הסיוע.
Sandbox
אנחנו מבקשים להודות לסאאגר ג'ה על הסיוע.
Security
אנחנו מבקשים להודות לכריסטיאן סטארקיוהן מ-Objective Development Software GmbH על הסיוע.
System Preferences
אנחנו מבקשים להודות לסאבה פיצל (@theevilbit) מ-Offensive Security על הסיוע.
System Preferences
אנחנו מבקשים להודות לסאבה פיצל (@theevilbit) מ-Offensive Security על הסיוע.
WebKit
מקסימיליאן בלוכברגר מ‑Security in Distributed Systems Group באוניברסיטת המבורג
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.