מידע על תוכן האבטחה של macOS Big Sur 11.1, עדכון אבטחה 2020-001 Catalina, עדכון אבטחה 2020-007 Mojave
מסמך זה מתאר את תוכן האבטחה של macOS Big Sur 11.1, עדכון אבטחה 2020-001 Catalina, עדכון אבטחה 2020-007 Mojave.
מידע על עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Big Sur 11.1, עדכון אבטחה 2020-001 Catalina, עדכון אבטחה 2020-007 Mojave
הופץ ב-14 בדצמבר 2020
AMD
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2020-27914: יו וואנג מ-Didi Research America
CVE-2020-27915: יו וואנג מ-Didi Research America
AMD
זמין עבור: macOS Big Sur 11.0.1
השפעה: משתמש מקומי עלול להצליח לגרום לסיום בלתי צפוי של המערכת או לקריאת זיכרון ליבה
תיאור: הייתה בעיה של קריאה מחוץ לתחום שהובילה לחשיפת זיכרון ליבה. הבעיה טופלה באמצעות אימות קלט משופר.
CVE-2020-27936: יו וואנג מ-Didi Research America
הרשומה נוספה ב-1 בפברואר 2021
App Store
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2020-27903: ז'יפנג הואו (@R3dF09) מ-Tencent Security Xuanwu Lab
AppleGraphicsControl
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.
CVE-2020-27941: shrek_wzw
AppleMobileFileIntegrity
זמין עבור: macOS Big Sur 11.0.1
השפעה: יישום זדוני עלול להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2020-29621: וויצ'ך רגולה (@_r3ggi) מ-SecuRing
שמע
זמין עבור: macOS Big Sur 11.0.1
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול לחשוף זיכרון מוגבל
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-29610: אנונימי בעבודה עם Zero Day Initiative של Trend Micro
הרשומה נוספה ב‑16 במרץ 2021
שמע
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-27910: ג'ון-דונג שייה (JunDong Xie) ושינגווי לין (XingWei Lin) מ-Ant Security Light-Year Lab
שמע
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: יישום זדוני עלול להצליח לקרוא זיכרון מוגבל
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-9943: ג'ון-דונג שייה ושינגווי לין מ-Ant Security Light-Year Lab
שמע
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: יישום עלול להצליח לקרוא זיכרון מוגבל
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-9944: ג'ון-דונג שייה ושינגווי לין מ-Ant Security Light-Year Lab
שמע
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2020-27916: ג'ון-דונג שייה ושינגווי לין מ-Ant Security Light-Year Lab
Bluetooth
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: תוקף מרוחק עלול לגרום לסיום בלתי צפוי של יישום או לפגם בזיכרון
תיאור: גלישות נומריות מרובות טופלו באמצעות אימות קלט משופר.
CVE-2020-27906: זואוז'י פאן (Zuozhi Fan) (@pattern_F_) מ-Ant Group Tianqiong Security Lab
CoreAudio
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-27948: ג'ון-דונג שייה ושינגווי לין מ-Ant Security Light-Year Lab
CoreAudio
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-27908: חוקר אנונימי בעבודה עם Zero Day Initiative של Trend Micro, JunDong Xie (ג'ון-דונג שייה) ו-Xingwei Lin (שינג-וויי לין) מ-Ant Security Light-Year Lab
CVE-2020-9960: ג'ון-דונג שייה ושינגווי לין מAnt Security-Light-Year Lab
הרשומה עודכנה ב-16 במרץ 2021
CoreAudio
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2020-10017: פרנסיס בעבודה עם Zero Day Initiative של Trend Micro, ג'ון-דונג שייה מ-Ant Security Light-Year Lab
CoreText
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2020-27922: מיקי ג'ין מ-Trend Micro
CUPS
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: יישום זדוני עלול להצליח לקרוא זיכרון מוגבל
תיאור: בעיית אימות קלט טופלה באמצעות טיפול משופר בזיכרון.
CVE-2020-10001: Niky
הרשומה נוספה ב-1 בפברואר 2021
FontParser
זמין עבור: macOS Big Sur 11.0.1
השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: בעיית חשיפת מידע טופלה באמצעות ניהול מצבים משופר.
CVE-2020-27946: מתיאוש יורצ'יק מ-Google Project Zero
FontParser
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: גלישת חוצץ טופלה ואימות הגודל שופר.
CVE-2020-9962: ייגיט ג'ן ילמז (@yilmazcanyigit)
FontParser
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2020-27952: חוקר אנונימי, מיקי ג'ין וג'ון-ג'י לו מ-Trend Micro
FontParser
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-9956: מיקי ג'ין וג'ון-ג'י לו מצוות המחקר לאבטחת מכשירים ניידים של Trend Micro יחד עם Zero Day Initiative של Trend Micro
FontParser
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1
השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: הייתה בעיה של השחתת זיכרון בעיבוד של קובצי גופנים. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2020-27931: Apple
CVE-2020-27943: מתיאוש יורצ'יק מ-Google Project Zero
CVE-2020-27944: מתיאוש יורצ'יק מ-Google Project Zero
CVE-2020-29624: מתיאוש יורצ'יק מ-Google Project Zero
הערך עודכן ב-22 בדצמבר 2020
FontParser
זמין עבור: macOS Big Sur 11.0.1
השפעה: תוקף מרוחק עלול להצליח להדליף זיכרון
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-29608: שינגווי לין מ-Ant Security Light-Year Lab
הרשומה נוספה ב-1 בפברואר 2021
יסוד
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: משתמש מקומי עלול להצליח לקרוא קבצים שרירותיים
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2020-10002: ג'יימס האצ'ינס (James Hutchins)
מנהלי התקנים גרפיים
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2020-27947: ABC Research s.r.o. בעבודה עם Zero Day Initiative של Trend Micro, ג'ון-דונג שייה מ-Ant Security Light-Year Lab
הרשומה עודכנה ב-16 במרץ 2021
מנהלי התקנים גרפיים
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-29612: ABC Research s.r.o. יחד עם Zero Day Initiative של Trend Micro
HomeKit
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: ייתכן שתוקף במיקום מורשה ברשת יוכל לשנות מצב יישום באופן בלתי צפוי
תיאור: בעיה זו טופלה באמצעות הפצה משופרת של הגדרות.
CVE-2020-9978: לו-יי שינג, דונגפאנג ז'או ושיאופנג וונג מאוניברסיטת אינדיאנה בלומינגטון, יאן ג'יה מאוניברסיטת שידיאן ומהאקדמיה הסינית למדעים ובין יואן מאוניברסיטת הואה-ג'ונג למדעים ולטכנולוגיה
ImageIO
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2020-27939: שינגווי לין מ-Ant Security Light-Year Lab
CVE-2020-29625: שינגווי לין מ-Ant Security Light-Year Lab
הערך נוסף ב-22 בדצמבר 2020, עודכן ב-1 בפברואר 2021
ImageIO
זמין עבור: macOS Catalina 10.15.7, macOS Big Sur 11.0.1
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-29615: שינגווי לין מ-Ant Security Light-Year Lab
הרשומה נוספה ב-1 בפברואר 2021
ImageIO
זמין עבור: macOS Big Sur 11.0.1
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2020-29616: zhouat בעבודה עם Zero Day Initiative של Trend Micro
ImageIO
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-27924: ליי סון
CVE-2020-29618: שינגווי לין מ-Ant Security Light-Year Lab
ImageIO
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-29611: אלכסנדרו-ולאד ניקולאה בעבודה עם Google Project Zero
הערך עודכן ב-17 בדצמבר 2020
ImageIO
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לפגם בזיכרון
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-29617: שינגווי לין מ-Ant Security Light-Year Lab
CVE-2020-29619: שינגווי לין מ-Ant Security Light-Year Lab
ImageIO
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2020-27912: שינגווי לין מ-Ant Security Light-Year Lab
CVE-2020-27923: ליי סון
עיבוד תמונה
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2020-27919: האו ז'ינג-ג'י(@hjy79425575) מ-Qihoo 360 CERT, שינגווי לין מ-Ant Security Light-Year Lab
Intel Graphics Driver
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-10015: ABC Research s.r.o. יחד עם Zero Day Initiative של Trend Micro
CVE-2020-27897: שיאולונג באי ומין ("ספארק") ז'נג מ-Alibaba Inc. ולו-יי שינג מאוניברסיטת אינדיאנה בלומינגטון
Intel Graphics Driver
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2020-27907: ABC Research s.r.o. בעבודה עם Zero Day Initiative של Trend Micro, ליו לונג מ-Ant Security Light-Year Lab
הרשומה עודכנה ב-16 במרץ 2021
ליבה
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: יישום זדוני עלול להצליח לקבוע את פריסת זיכרון הליבה
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2020-9974: טומי מוייר (Tommy Muir) (@Muirey03)
ליבה
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2020-10016: אלכס הלי (Alex Helie)
ליבה
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: תוקף מרחוק עלול לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.
CVE-2020-9967: אלכס פלאסקט (@alexjplaskett)
ליבה
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2020-9975: טייליי וואנג מ-Pangu Lab
ליבה
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מירוץ טופל באמצעות טיפול משופר במצבים.
CVE-2020-27921: לינוס הנצה (pinauten.de)
Kernel
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
השפעה: ייתכן שאפליקציה זדונית תגרום לשינויים בלתי צפויים בזיכרון ששייך לתהליכים במעקב על ידי DTrace
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות למניעת פעולות לא מורשות.
CVE-2020-27949: שטפן קלי (@_kleest) מהאוניברסיטה הטכנית של דמרשטאדט,Secure Mobile Networking Lab
ליבה
זמין עבור: macOS Big Sur 11.0.1
השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.
CVE-2020-29620: סאבה פיצל (Csaba Fitzl) (@theevilbit) מ-Offensive Security
libxml2
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2020-27911: התגלה על-ידי OSS-Fuzz
libxml2
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2020-27920: התגלה על-ידי OSS-Fuzz
libxml2
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2020-27926: התגלה על-ידי OSS-Fuzz
libxpc
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: יישום זדוני עלול להצליח לצאת מתוך ארגז החול
תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.
CVE-2020-10014: ז'יפנג הואו (@R3dF09) מ-Tencent Security Xuanwu Lab
התחברות
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2020-10010: טומי מוייר (@Muirey03)
חלון התחברות
זמין עבור: macOS Big Sur 11.0.1
השפעה: ייתכן שתוקף במיקום מורשה ברשת יוכל לעקוף מדיניות אימות
תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.
CVE-2020-29633: ג'ול למברט מ-Original Spin, LLC.
הרשומה נוספה ב-1 בפברואר 2021
Model I/O
זמין עבור: macOS Big Sur 11.0.1
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לפגם בזיכרון
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2020-29614: ג'י-וויי סון (@5n1p3r0010) מ-Topsec Alpha Lab
הרשומה נוספה ב-1 בפברואר 2021
Model I/O
זמין עבור: macOS Catalina 10.15.7
השפעה: עיבוד של קובץ USD שנוצר באופן זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-13520: אלכסנדר ניקוליץ' מ-Cisco Talos
הרשומה נוספה ב-1 בפברואר 2021
Model I/O
זמין עבור: macOS Catalina 10.15.7, macOS Big Sur 11.0.1
השפעה: עיבוד של קובץ USD שנוצר באופן זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.
CVE-2020-9972: אלכסנדר ניקוליץ' מ-Cisco Talos
הרשומה נוספה ב-1 בפברואר 2021
Model I/O
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: עיבוד של קובץ USD שנוצר באופן זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-13524: אלכסנדר ניקוליץ' (Aleksandar Nikolic) מ-Cisco Talos
Model I/O
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: פתיחת קובץ בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2020-10004: אלכסנדר ניקוליץ' מ-Cisco Talos
NSRemoteView
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2020-27901: תייס אלקמדה ממחלקת המחקר של Computest
ניהול צריכת חשמל
זמין עבור: macOS Big Sur 11.0.1
השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2020-27938: טים מישו (@TimGMichaud) מ-Leviathan
הרשומה נוספה ב-1 בפברואר 2021
ניהול צריכת חשמל
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: יישום זדוני עלול להצליח לקבוע את פריסת זיכרון הליבה
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2020-10007: singi@theori יחד עם Trend Micro Zero Day Initiative
מבט מהיר
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: עיבוד של מסמך בעל מבנה זדוני עלול לגרום להתקפת Scripting בין אתרים
תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.
CVE-2020-10012: הייגה מצוות 404 של -KnownSec (knownsec.com) ובו קו מ-Palo Alto Networks (paloaltonetworks.com)
Ruby
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: תוקף מרוחק עלול להצליח לשנות את מערכת הקבצים
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2020-27896: חוקר אנונימי
העדפות מערכת
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2020-10009: תייס אלקמדה מ-Computest Research Division
WebKit Storage
זמין עבור: macOS Big Sur 11.0.1
השפעה: ייתכן שמשתמש לא יוכל למחוק היסטוריית גלישה באופן מלא
תיאור: הפעולה 'נקה היסטוריה ונתוני אתרים' לא ניקתה את ההיסטוריה. הבעיה טופלה באמצעות שיפור מחיקת הנתונים.
CVE-2020-29623: סיימון האנט מ-OvalTwo LTD
הרשומה נוספה ב-1 בפברואר 2021
WebRTC
זמין עבור: macOS Big Sur 11.0.1
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2020-15969: חוקר אנונימי
Wi-Fi
זמין עבור: macOS Mojave 10.14.6, macOS Catalina 10.15.7
השפעה: תוקף עלול להצליח לעקוף הגנה של מסגרות מנוהלות
תיאור: בעיית מניעת שירות טופלה באמצעות טיפול משופר במצב.
CVE-2020-27898: סטפן מאריי (Stephan Marais) מאוניברסיטת יוהנסבורג
תודות נוספות
CoreAudio
אנחנו מבקשים להודות לג'ון-דונג שייה ולשינג-וויי לין מ-Ant Security Light-Year Lab על הסיוע.
הרשומה נוספה ב‑16 במרץ 2021
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.