אודות תוכן האבטחה של macOS Big Sur 11.0.1

מסמך זה מתאר את תוכן האבטחה של macOS Big Sur 11.0.1.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Big Sur 11.0.1

פורסם ב-12 בנובמבר 2020

AMD

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2020-27914: יו וואנג מ-Didi Research America

CVE-2020-27915: יו וואנג מ-Didi Research America

הרשומה נוספה ב-14 בדצמבר 2020

App Store

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2020-27903: ז'יפנג הואו (‎@R3dF09) מ-Tencent Security Xuanwu Lab

Audio

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-27910: ג'ון-דונג שייה (JunDong Xie) ושינגווי לין (XingWei Lin) מ-Ant Security Light-Year Lab

Audio

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2020-27916: ג'ון-דונג שייה ושינגווי לין מ-Ant Security Light-Year Lab

Audio

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום זדוני עלול להצליח לקרוא זיכרון מוגבל

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9943: ג'ון-דונג שייה מ-Ant Group Light-Year Security Lab

Audio

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום עלול להצליח לקרוא זיכרון מוגבל

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9944: ג'ון-דונג שייה מ-Ant Group Light-Year Security Lab

Bluetooth

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: תוקף מרוחק עלול לגרום לסיום בלתי צפוי של יישום או לפגם בזיכרון

תיאור: גלישות נומריות מרובות טופלו באמצעות אימות קלט משופר.

CVE-2020-27906: זואוז'י פאן (Zuozhi Fan)‏ (‎@pattern_F_‎) מ-Ant Group Tianqiong Security Lab

CFNetwork Cache

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2020-27945: ‏ז'ואו ליאנג מצוות Vulcan של Qihoo 360

הרשומה נוספה ב-16 במרץ 2021

CoreAudio

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-27908: ג'ון-דונג שייה ושינגווי לין מ-Ant Security Light-Year Lab

CVE-2020-27909: חוקר אנונימי בעבודה עם Zero Day Initiative של Trend Micro, ג'ון-דונג שייה ושינג-וויי לין מ-Ant Security Light-Year Lab

CVE-2020-9960: ג'ון-דונג שייה ושינגווי לין מAnt Security Light-Year Lab

הרשומה נוספה ב-14 בדצמבר 2020

CoreAudio

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2020-10017: פרנסיס בעבודה עם Zero Day Initiative של Trend Micro, ג'ון-דונג שייה מ-Ant Security Light-Year Lab

CoreCapture

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-9949:‏ Proteas

CoreGraphics

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד מסמך PDF בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2020-9897: ‏S.Y. מ-ZecOps Mobile XDR, חוקר אנונימי

הערך נוסף ב-25 באוקטובר 2021

CoreGraphics

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2020-9883: חוקר אנונימי, מיקי ג'ין (Mickey Jin) מ-Trend Micro

Crash Reporter

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: הייתה בעיה בלוגיקה של אימות נתיבים עבור קישורים סימבוליים. בעיה זו טופלה באמצעות סניטציה משופרת של נתיבים.

CVE-2020-10003: טים מישו (Tim Michaud)‏ (‎@TimGMichaud) מ-Leviathan

CoreText

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2020-27922: מיקי ג'ין מ-Trend Micro

הרשומה נוספה ב-14 בדצמבר 2020

CoreText

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9999:‏ Apple

הרשומה עודכנה ב-14 בדצמבר 2020

Directory Utility

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: ייתכן כי יישום זדוני יוכל לגשת למידע פרטי

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2020-27937: וויצ'ך רגולה (‎@_r3ggi) מ-SecuRing

הרשומה נוספה ב-16 במרץ 2021

Disk Images

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-9965:‏ Proteas

CVE-2020-9966:‏ Proteas

Finder

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: ייתכן שמשתמשים לא יוכלו להסיר מטא-נתונים המציינים מהיכן הורדו קבצים

תיאור: הבעיה טופלה בעזרת פקדי משתמשים נוספים.

CVE-2020-27894: מנואל טרצה (Manuel Trezza) מ-Shuggr‏ (shuggr.com)

FontParser

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2021-1790: פיטר נגויאן וו הואנג מ-STAR Labs

הערך נוסף ב-25 במאי 2022

FontParser

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2021-1775: מיקי ג'ין וצ'י סון מ-Trend Micro בעבודה עם Zero Day Initiative של Trend Micro

הערך נוסף ב-25 באוקטובר 2021

FontParser

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום זדוני עלול להצליח לקרוא זיכרון מוגבל

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-29629: חוקר אנונימי

הערך נוסף ב-25 באוקטובר 2021

FontParser

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2020-27942: חוקר אנונימי

הערך נוסף ב-25 באוקטובר 2021

FontParser

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: גלישת חוצץ טופלה ואימות הגודל שופר.

CVE-2020-9962: ‏ייגיט ג'ן ילמז ‏(‎@yilmazcanyigit)

הרשומה נוספה ב-14 בדצמבר 2020

FontParser

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2020-27952: חוקר אנונימי, מיקי ג'ין וג'ון-ג'י לו מ-Trend Micro

הרשומה נוספה ב-14 בדצמבר 2020

FontParser

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-9956: מיקי ג'ין וג'ון-ג'י לו מצוות המחקר לאבטחת מכשירים ניידים של Trend Micro יחד עם Zero Day Initiative של Trend Micro

הרשומה נוספה ב-14 בדצמבר 2020

FontParser

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: הייתה בעיה של השחתת זיכרון בעיבוד של קובצי גופנים. בעיה זו טופלה באמצעות אימות קלט משופר.

CVE-2020-27931:‏ Apple

הרשומה נוספה ב-14 בדצמבר 2020

FontParser

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי. Apple מודעת לדיווחים על ניצול הבעיה בקרב הציבור.

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2020-27930: ‏Google Project Zero

FontParser

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-27927: שינגווי לין מ-Ant Security Light-Year Lab

FontParser

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-29639: מיקי ג'ין וצ'י סון מ‑Trend Micro בעבודה עם Zero Day Initiative של Trend Micro

הרשומה נוספה ב-21 ביולי 2021

Foundation

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: משתמש מקומי עלול להצליח לקרוא קבצים שרירותיים

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2020-10002: ג'יימס האצ'ינס (James Hutchins)

HomeKit

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: ייתכן שתוקף במיקום מורשה ברשת יוכל לשנות מצב יישום באופן בלתי צפוי

תיאור: בעיה זו טופלה באמצעות הפצה משופרת של הגדרות.

CVE-2020-9978: לו-יי שינג, דונגפאנג ז'או ושיאופנג וונג מאוניברסיטת אינדיאנה בלומינגטון, יאן ג'יה מאוניברסיטת שידיאן ומהאקדמיה הסינית למדעים ובין יואן מאוניברסיטת הואה-ג'ונג למדעים ולטכנולוגיה

הרשומה נוספה ב-14 בדצמבר 2020

ImageIO

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9955‏: מיקי ג'ין מ-Trend Micro, שינגווי לין מ-Ant Security Light-Year Lab

הרשומה נוספה ב-14 בדצמבר 2020

ImageIO

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-27924: ליי סון

הרשומה נוספה ב-14 בדצמבר 2020

ImageIO

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2020-27912: שינגווי לין מ-Ant Security Light-Year Lab

CVE-2020-27923: ליי סון

הרשומה עודכנה ב-14 בדצמבר 2020

ImageIO

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9876‏: מיקי ג'ין מ-Trend Micro

Intel Graphics Driver

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-10015:‏ ABC Research s.r.o.‎ יחד עם Zero Day Initiative של Trend Micro

CVE-2020-27897: שיאולונג באי ומין ("ספארק") ז'נג מ-Alibaba Inc.‎ ולו-יי שינג מאוניברסיטת אינדיאנה בלומינגטון

הרשומה נוספה ב-14 בדצמבר 2020

Intel Graphics Driver

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2020-27907: ‏ABC Research s.r.o.‎ בעבודה עם Zero Day Initiative של Trend Micro, ליו לונג מ-Ant Security Light-Year Lab

הרשומה נוספה ב-14 בדצמבר 2020, עודכנה ב-16 במרץ 2021

Image Processing

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2020-27919: האו ז'ינג-ג'י(‎@hjy79425575) מ-Qihoo 360 CERT, שינגווי לין מ-Ant Security Light-Year Lab

הרשומה נוספה ב-14 בדצמבר 2020

Kernel

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: תוקף מרחוק עלול לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.

CVE-2020-9967‏: אלכס פלאסקט (‎@alexjplaskett)

הרשומה נוספה ב-14 בדצמבר 2020

Kernel

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-9975‏: טייליי וואנג מ-Pangu Lab

הרשומה נוספה ב-14 בדצמבר 2020

Kernel

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מצב מירוץ טופל באמצעות טיפול משופר במצבים.

CVE-2020-27921:‏ לינוס הנצה (pinauten.de)

הרשומה נוספה ב-14 בדצמבר 2020

Kernel

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיה לוגית שהייתה קיימת גרמה להשחתת זיכרון. בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2020-27904: זואוז'י פאן (‎@pattern_F_‎) מ-Ant Group Tianqong Security Lab

Kernel

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: ייתכן שתוקף במיקום מורשה ברשת יוכל לבצע החדרה לחיבורים פעילים במנהרת VPN

תיאור: בעיית ניתוב טופלה באמצעות הגבלות משופרות.

CVE-2019-14899: ויליאם ג' טולי, בו קויאת וג'דדיה ר' קרנדל

Kernel

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום זדוני עלול לחשוף את זיכרון הליבה. Apple מודעת לדיווחים על ניצול הבעיה בקרב הציבור.

תיאור: בעיית אתחול זיכרון טופלה.

CVE-2020-27950: ‏Google Project Zero

Kernel

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום זדוני עלול להצליח לקבוע את פריסת זיכרון הליבה

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9974: טומי מוייר (Tommy Muir)‏ (‎@Muirey03)

Kernel

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2020-10016: אלכס הלי (Alex Helie)

Kernel

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה. Apple מודעת לדיווחים על ניצול הבעיה בקרב הציבור.

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר במצב.

CVE-2020-27932: ‏Google Project Zero

libxml2

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-27917: התגלה על-ידי OSS-Fuzz

CVE-2020-27920: התגלה על-ידי OSS-Fuzz

הרשומה עודכנה ב-14 בדצמבר 2020

libxml2

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2020-27911: התגלה על-ידי OSS-Fuzz

libxpc

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.

CVE-2020-9971‏: ז'יפנג הואו (‎@R3dF09) מ-Tencent Security Xuanwu Lab

הרשומה נוספה ב-14 בדצמבר 2020

libxpc

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום זדוני עלול להצליח לצאת מתוך ארגז החול

תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.

CVE-2020-10014: ז'יפנג הואו (‎@R3dF09) מ-Tencent Security Xuanwu Lab

Logging

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2020-10010: טומי מוייר (‎@Muirey03)

Mail

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: תוקף מרוחק עלול להצליח לשנות מצב של יישום באופן בלתי צפוי

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-9941: פביאן איסינג (Fabian Ising) מ-FH Münster University of Applied Sciences ודמיאן פודבניאק (Damian Poddebniak) מ-FH Münster University of Applied Sciences

Messages

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: משתמש מקומי עלול להצליח לגלות הודעות משתמש שנמחקו

תיאור: הבעיה טופלה באמצעות שיפור מחיקה.

CVE-2020-9988: ויליאם ברויאר (William Breuer) מהולנד

CVE-2020-9989:‏ von Brunn Media

Model I/O

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד של קובץ USD שנוצר באופן זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-10011: אלכסנדר ניקוליץ' מ-Cisco Talos

הרשומה נוספה ב-14 בדצמבר 2020

Model I/O

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד של קובץ USD שנוצר באופן זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-13524: אלכסנדר ניקוליץ' (Aleksandar Nikolic) מ-Cisco Talos

Model I/O

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: פתיחת קובץ בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2020-10004: אלכסנדר ניקוליץ' מ-Cisco Talos

NetworkExtension

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-9996: ז'יוואי יואן מ-Trend Micro iCore Team, ג'ונז'י לו ומיקי ג'ין מ-Trend Micro

NSRemoteView

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2020-27901: תייס אלקמדה ממחלקת המחקר של Computest

הרשומה נוספה ב-14 בדצמבר 2020

NSRemoteView

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום זדוני עלול להצליח להציג בתצוגה מקדימה קבצים שאין לו גישה אליהם

תיאור: הייתה בעיה בטיפול בתמונות מצב. הבעיה טופלה באמצעות לוגיקת הרשאות משופרת.

CVE-2020-27900: תייס אלקמדה (Thijs Alkemade) מ-Computest Research Division

PCRE

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: מספר בעיות ב-pcre

תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 8.44.

CVE-2019-20838

CVE-2020-14155

Power Management

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום זדוני עלול להצליח לקבוע את פריסת זיכרון הליבה

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2020-10007:‏ singi@theori יחד עם Trend Micro Zero Day Initiative

python

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: קובצי Cookie השייכים למקור אחד עלולים להישלח למקור אחר

תיאור: מספר בעיות טופלו באמצעות לוגיקה משופרת.

CVE-2020-27896: חוקר אנונימי

Quick Look

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום זדוני עלול להצליח לקבוע את קיומם של קבצים במחשב

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון של אייקונים.

CVE-2020-9963: סאבה פיצל (Csaba Fitzl)‏ (‎@theevilbit) מ-Offensive Security

Quick Look

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד של מסמך בעל מבנה זדוני עלול לגרום להתקפת Scripting בין אתרים

תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.

CVE-2020-10012: הייגה מצוות 404 של -KnownSec‏‏ (knownsec.com) ובו קו מ-Palo Alto Networks‏ (paloaltonetworks.com)

הרשומה עודכנה ב-16 במרץ 2021

Ruby

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: תוקף מרוחק עלול להצליח לשנות את מערכת הקבצים

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2020-27896: חוקר אנונימי

Ruby

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: בעת ניתוח של מסמכי JSON מסוימים, ניתן לכפות על json gem ליצור אובייקטים שרירותיים במערכת היעד

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-10663: ג'רמי אוונס (Jeremy Evans)

Safari

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות

תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.

CVE-2020-9945: נרנדרה בהאטי מ-Suma Soft Pvt.‎ Ltd.‎ בפונה (הודו) ‎@imnarendrabhati

Safari

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום זדוני עלול להצליח לזהות כרטיסיות פתוחות של משתמש ב-Safari

תיאור: בעיית אימות קיימת בטיפול באימות זכאות. בעיה זו תוקנה באמצעות אימות משופר של תהליך הזכאות.

CVE-2020-9977: ג'וש פרנהאם (Josh Parnham)‏ (‎@joshparnham)

Safari

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות

תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9942: חוקר אנונימי, ראול ד' קנקראלה (servicenger.com), ראיאן ביג'ורה (‎@Bijoora) מ-The City School, PAF Chapter, רואילין יאנג מ-Tencent Security Xuanwu Lab, יוקו קהו (‎@YoKoAcc) מ-PT Telekomunikasi Indonesia (Persero) Tbk, ז'יאנג זנג (‎@Wester) מ-OPPO ZIWU Security Lab

Safari

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר

תיאור: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות.

CVE-2020-9987: ראפי באלוץ' (cybercitadel.com) מ-Cyber Citadel

הרשומה נוספה ב-21 ביולי 2021

Sandbox

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: ייתכן שיישום מקומי יוכל למספר את מסמכי iCloud של המשתמש

תיאור: הבעיה טופלה באמצעות שיפור הלוגיקה של ההרשאות.

CVE-2021-1803: סאבה פיצל (‎@theevilbit) מ-Offensive Security

הרשומה נוספה ב-16 במרץ 2021

Sandbox

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: משתמש מקומי עלול להצליח לצפות במידע רגיש אודות משתמש

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2020-9969: וויצ'ך רגולה (Wojciech Reguła) מ-SecuRing‏ (wojciechregula.blog)

Screen Sharing

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: ייתכן שמשתמש עם גישה לשיתוף מסך יוכל להציג מסך של משתמש אחר

תיאור: הייתה בעיה בשיתוף מסך. בעיה זו טופלה באמצעות ניהול מצב משופר.

CVE-2020-27893: ‏pcsgomes

הרשומה נוספה ב-16 במרץ 2021

Siri

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: אדם שיש לו גישה פיזית למכשיר iOS עשוי להצליח להיכנס לתכנים ממסך הנעילה

תיאור: בעיה במסך הנעילה אפשרה גישה לאנשי קשר במכשיר נעול. בעיה זו טופלה באמצעות ניהול מצב משופר.

CVE-2021-1755: יובל רון, עמיחי שולמן ואלי ביהם מהטכניון - מכון טכנולוגי לישראל

הרשומה נוספה ב-16 במרץ 2021

smbx

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: ייתכן שתוקף במיקום מורשה ברשת יוכל לבצע מניעת שירות

תיאור: בעיה של מיצוי משאבים טופלה באמצעות אימות קלט משופר.

CVE-2020-10005:‏ Apple

הערך נוסף ב-25 באוקטובר 2021

SQLite

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-9991

SQLite

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: תוקף מרוחק עלול להצליח להדליף זיכרון

תיאור: בעיית חשיפת מידע טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9849

SQLite

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: מספר בעיות ב-SQLite

תיאור: מספר בעיות טופלו באמצעות בדיקות משופרות.

CVE-2020-15358

SQLite

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: שאילתת SQL בעלת מבנה זדוני עלולה להוביל להשחתת נתונים

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-13631

SQLite

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

SQLite

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2020-13630

Symptom Framework

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-27899: ‏08Tc3wBB בעבודה עם ZecOps

הרשומה נוספה ב-14 בדצמבר 2020

System Preferences

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2020-10009: תייס אלקמדה מ-Computest Research Division

TCC

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: ייתכן שיישום זדוני עם הרשאות בסיס יוכל לקבל גישה למידע פרטי

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2020-10008: וויצ'ך רגולה מ-SecuRing‏ (wojciechregula.blog)

הרשומה נוספה ב-14 בדצמבר 2020

WebKit

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-27918: ליו לונג מ-Ant Security Light-Year Lab

הרשומה עודכנה ב-14 בדצמבר 2020

WebKit

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון

תיאור: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי.

CVE-2020-9947: ‏cc יחד עם Zero Day Initiative של Trend Micro

CVE-2020-9950: ‏cc יחד עם Zero Day Initiative של Trend Micro

הרשומה נוספה ב-21 ביולי 2021

Wi-Fi

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: תוקף עלול להצליח לעקוף הגנה של מסגרות מנוהלות

תיאור: בעיית מניעת שירות טופלה באמצעות טיפול משופר במצב.

CVE-2020-27898: סטפן מאריי (Stephan Marais) מאוניברסיטת יוהנסבורג

XNU

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'

תיאור: מספר בעיות טופלו באמצעות לוגיקה משופרת.

CVE-2020-27935: ליאור חלפון (‎@LIJI32)

הרשומה נוספה ב-17 בדצמבר 2020

Xsan

זמין עבור: Mac Pro‏ (2013 ואילך), MacBook Air‏ (2013 ואילך), MacBook Pro (סוף 2013 ואילך), Mac mini‏ (2014 ואילך), iMac‏ (2014 ואילך), MacBook‏ (2015 ואילך), iMac Pro (כל הדגמים)

השפעה: יישום זדוני עלול להצליח לגשת לקבצים מוגבלים

תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.

CVE-2020-10006: וויצ'ך רגולה (‎@_r3ggi) מ-SecuRing

תודות נוספות

802.1X

אנחנו מבקשים להודות לכנאנה דאלה מאוניברסיטת חמד בין ח'ליפה ולריאן ריילי מאוניברסיטת קרנגי מלון בקטאר על הסיוע.

הרשומה נוספה ב-14 בדצמבר 2020

Audio

אנחנו מבקשים להודות לג'ון-דונג שייה ולשינג-וויי לין מ-Ant-Financial Light-Year Security Lab, ולמארק שונפלד, ד"ר למדעי הטבע, על הסיוע.

הרשומה עודכנה ב-16 במרץ 2021

Bluetooth

אנחנו מבקשים להודות לאנדי דייוויס מ-NCC Group, לדניס היינצה (‎@ttdennis) מהאוניברסיטה הטכנית של דמרשטאדט ול-Secure Mobile Networking Lab על הסיוע.

הרשומה עודכנה ב-14 בדצמבר 2020

Clang

אנחנו מבקשים להודות לברנדון אזאד (Brandon Azad) מ-Google Project Zero על הסיוע.

Core Location

ברצוננו להודות לייגיט קאן יילמז (Yiğit Can YILMAZ)‏ (‎@yilmazcanyigit) על העזרה.

Crash Reporter

אנחנו מבקשים להודות לארתור ביסקו מ-AFINE על הסיוע.

הרשומה נוספה ב-14 בדצמבר 2020

Directory Utility

אנחנו מבקשים להודות לוויצ'ך רגולה ‏(‎@_r3ggi) מ-SecuRing על הסיוע.

iAP

אנחנו מבקשים להודות לאנדי דייוויס מ-NCC Group על הסיוע.

Kernel

אנחנו מבקשים להודות לברנדון אזאד מ-Google Project Zero ולסטפן רוטגר מ-Google על הסיוע.

libxml2

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

הרשומה נוספה ב-14 בדצמבר 2020

Login Window

אנחנו מבקשים להודות לרוב מורטון מ-Leidos על הסיוע.

הרשומה נוספה ב-16 במרץ 2021

Login Window

אנחנו מבקשים להודות לרוב מורטון מ-Leidos על הסיוע.

Photos Storage

אנחנו מבקשים להודות לפאולוס ייבלו מ-LimeHats על הסיוע.

Quick Look

אנחנו מבקשים להודות לסאבה פיצל (‎@theevilbit) ולוויצ'ך רגולה מ-SecuRing (wojciechregula.blog) על הסיוע.

Safari

אנחנו מבקשים להודות לגבריאל קורונה ולנרנדרה בהאטי מ-Suma Soft Pvt.‎ Ltd.‎ בפונה (הודו) ‎@imnarendrabhati על הסיוע.

Security

אנחנו מבקשים להודות לכריסטיאן סטארקיוהן מ-Objective Development Software GmbH על הסיוע.

System Preferences

אנחנו מבקשים להודות לסאבה פיצל (‎@theevilbit) מ-Offensive Security על הסיוע.

הרשומה נוספה ב-16 במרץ 2021

System Preferences

אנחנו מבקשים להודות לסאבה פיצל (‎@theevilbit) מ-Offensive Security על הסיוע.

WebKit

מקסימיליאן בלוכברגר מ‑Security in Distributed Systems Group באוניברסיטת המבורג

הערך נוסף ב-25 במאי 2022

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: