אודות תוכן האבטחה של macOS Catalina 10.15.7, עדכון אבטחה 2020-005 High Sierra, עדכון אבטחה 2020-005 Mojave
מסמך זה מתאר את תוכן האבטחה של macOS Catalina 10.15.7, עדכון אבטחה 2020-005 High Sierra, עדכון אבטחה 2020-005 Mojave.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Catalina 10.15.7, עדכון אבטחה 2020-005 High Sierra, עדכון אבטחה 2020-005 Mojave
CoreAudio
זמין עבור: macOS Catalina 10.15
השפעה: הפעלת קובץ שמע זדוני עלולה להוביל להפעלת קוד שרירותי
תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.
CVE-2020-9954: פרנסיס בעבודה עם Zero Day Initiative של Trend Micro, ג'ון-דונג שייה מ-Ant Group Light-Year Security Lab
מצא את...
זמין עבור: macOS Catalina 10.15
השפעה: אפליקציה זדונית עשויה לקרוא מידע רגיש אודות המיקום
תיאור: הייתה קיימת בעיה בגישה לקבצים מסוימים בתיקיית הבית. בעיה זו טופלה באמצעות שיפור ההגבלות על הגישה.
CVE-2020-9986: טים קורנהובר, מילאן שטוטה ואלכסנדר היינריך מ-TU Darmstadt, Secure Mobile Networking Lab
ImageIO
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-9961: שינגווי לין מ-Ant Security Light-Year Lab
libxml2
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2020-9981: התגלה על-ידי OSS-Fuzz
דואר
זמין עבור: macOS High Sierra 10.13.6
השפעה: תוקף מרוחק עלול להצליח לשנות מצב של יישום באופן בלתי צפוי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2020-9941: פביאן איסינג (Fabian Ising) מ-FH Münster University of Applied Sciences ודמיאן פודבניאק (Damian Poddebniak) מ-FH Münster University of Applied Sciences
Model I/O
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: עיבוד של קובץ USD שנוצר באופן זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-10011: אלכסנדר ניקוליץ' מ-Cisco Talos
CVE-2020-9973: אלכסנדר ניקוליץ' מ-Cisco Talos
Model I/O
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15
השפעה: עיבוד של קובץ USD שנוצר באופן זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-13520: אלכסנדר ניקוליץ' מ-Cisco Talos
Sandbox
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: יישום זדוני עלול להצליח לגשת לקבצים מוגבלים
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2020-9968: אדם צ'סטר (@_xpn_) מ-TrustedSec
Wi-Fi
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2020-10013: יו וואנג מ-Didi Research America
תודות נוספות
Bluetooth
אנחנו מבקשים להודות לאנדי דייוויס מ-NCC Group על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.