O sigurnosnom sadržaju sustava macOS Big Sur 11.0.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Big Sur 11.0.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Big Sur 11.0.1

Objavljeno 12. studenog 2020.

AMD

Dostupno za: Mac Pro (iz 2013. i novije), MacBook Air (iz 2013. i novije), MacBook Pro (s kraja 2013. i novije), Mac mini (iz 2014. i novije), iMac (iz 2014. i novije), MacBook (iz 2015. i novije), iMac Pro (svi modeli)

Učinak: neke zlonamjerne aplikacije mogle bi uz sistemske ovlasti izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27914: Yu Wang (Didi Research America)

CVE-2020-27915: Yu Wang (Didi Research America)

Unos dodan 14. prosinca 2020.

App Store

Učinak: neka bi aplikacija mogla dobiti veće ovlasti

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2020-27903: Zhipeng Huo (@R3dF09) (Tencentov sigurnosni odjel Xuanwu Lab)

Audio

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27910: JunDong Xie i XingWei Lin (Ant Security Light-Year Lab)

Audio

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27916: JunDong Xie (Ant Security Light-Year Lab)

Audio

Učinak: neka bi zlonamjerna aplikacija mogla čitati ograničenu memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9943: JunDong Xie (Ant Group Light-Year Security Lab)

Audio

Učinak: neka bi aplikacija mogla čitati ograničenu memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9944: JunDong Xie (Ant Group Light-Year Security Lab)

Bluetooth

Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili oštećenje hrpe

Opis: višestruka prekoračenja cijelog broja riješena su poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27906: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)

CFNetwork Cache

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27945: Zhuo Liang (Qihoo 360 Vulcan Team)

Unos je dodan 16. ožujka 2021.

CoreAudio

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27908: JunDong Xie i XingWei Lin (Ant Security Light-Year Lab)

CVE-2020-27909: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro), JunDong Xie i XingWei Lin (Ant Security Light-Year Lab)

CVE-2020-9960: JunDong Xie i Xingwei Lin (Ant Security Light-Year Lab)

Unos dodan 14. prosinca 2020.

CoreAudio

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-10017: Francis u suradnji s inicijativom Zero Day (Trend Micro), JunDong Xie (Ant Security Light-Year Lab)

CoreCapture

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9949: Proteas

CoreGraphics

Učinak: obradom zlonamjerne PDF datoteke moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9897: S.Y. (ZecOps Mobile XDR, anonimni istraživač)

Unos je dodan 25. listopada 2021.

CoreGraphics

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9883: anonimni istraživač, Mickey Jin (Trend Micro)

Crash Reporter

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: u logici za provjeru valjanosti puta za simboličke veze postojao je problem. Taj je problem riješen poboljšanim čišćenjem puta.

CVE-2020-10003: Tim Michaud (@TimGMichaud) (Leviathan)

CoreText

Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-27922: Mickey Jin (Trend Micro)

Unos dodan 14. prosinca 2020.

CoreText

Učinak: obradom zlonamjerne tekstne datoteke moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9999: Apple

Unos ažuriran 14. prosinca 2020.

Directory Utility

Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-27937: Wojciech Reguła (@_r3ggi) (SecuRing)

Unos je dodan 16. ožujka 2021.

Disk Images

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Finder

Učinak: korisnici možda neće moći ukloniti metapodatke koji označuju mjesto s kojeg su datoteke preuzete

Opis: problem je riješen dodatnim korisničkim kontrolama.

CVE-2020-27894: Manuel Trezza (Shuggr) (shuggr.com)

FontParser

Učinak: obradom zlonamjernog fonta moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-36615: Peter Nguyen Hoang Vu (@peternguyen14) iz tvrtke STAR Labs

Unos je dodan 11. svibnja 2023.

FontParser

Učinak: obradom zlonamjerne tekstne datoteke moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-1790: Peter Nguyen Vu Hoang (STAR Labs)

Unos je dodan 25. svibnja 2022.

FontParser

Učinak: obradom zlonamjernog fonta moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2021-1775: Mickey Jin i Qi Sun (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 25. listopada 2021.

FontParser

Učinak: neka bi zlonamjerna aplikacija mogla čitati ograničenu memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-29629: anonimni istraživač

Unos je dodan 25. listopada 2021.

FontParser

Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-27942: anonimni istraživač

Unos je dodan 25. listopada 2021.

FontParser

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Unos dodan 14. prosinca 2020.

FontParser

Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27952: anonimni istraživač, Mickey Jin i Junzhi Lu (Trend Micro)

Unos dodan 14. prosinca 2020.

FontParser

Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9956: Mickey Jin i Junzhi Lu (Istraživački tim za mobilnu sigurnost, Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)

Unos dodan 14. prosinca 2020.

FontParser

Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda

Opis: u obradi datoteka s fontovima postojao je problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27931: Apple

Unos dodan 14. prosinca 2020.

FontParser

Učinak: obradom zlonamjernog fonta moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvještajima o tome da iskorištavatelj slabih točaka za ovaj problem postoji u divljini.

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27930: Google Project Zero

FontParser

Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-27927: Xingwei Lin (Ant Security Light-Year Lab)

FontParser

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-29639: Mickey Jin i Qi Sun (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)

Stavka dodana 21. srpnja 2021.

Foundation

Učinak: lokalni korisnik mogao bi čitati proizvoljne datoteke

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-10002: James Hutchins

HomeKit

Učinak: napadač s povlaštenim mrežnim ovlastima mogao bi neočekivano promijeniti stanje aplikacije

Opis: problem je riješen poboljšanom propagacijom postavki.

CVE-2020-9978: Luyi Xing, Dongfang Zhao i Xiaofeng Wang (Sveučilište Bloomington u Indijani), Yan Jia (Sveučilište Xidian i Sveučilište kineske akademije znanosti) i Bin Yuan (Sveučilište znanosti i tehnologije HuaZhong)

Unos dodan 14. prosinca 2020.

ImageIO

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9955: Mickey Jin (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)

Unos dodan 14. prosinca 2020.

ImageIO

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27924: Lei Sun

Unos dodan 14. prosinca 2020.

ImageIO

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27912: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2020-27923: Lei Sun

Unos ažuriran 14. prosinca 2020.

ImageIO

Učinak: otvaranje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9876: Mickey Jin (Trend Micro)

Intel Graphics Driver

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-10015: ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2020-27897: Xiaolong Bai i Min (Spark) Zheng (Alibaba Inc.) te Luyi Xing (Sveučilište Bloomington u Indijani)

Unos dodan 14. prosinca 2020.

Intel Graphics Driver

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-27907: ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro), Liu Long (Ant Security Light-Year Lab)

Unos dodan 14. prosinca 2020., ažuriran 16. ožujka 2021.

Image Processing

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27919: Hou JingYi (@hjy79425575) (Qihoo 360 CERT), Xingwei Lin (Ant Security Light-Year Lab)

Unos dodan 14. prosinca 2020.

Kernel

Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Unos dodan 14. prosinca 2020.

Kernel

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9975: Tielei Wang (Pangu Lab)

Unos dodan 14. prosinca 2020.

Kernel

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2020-27921: Linus Henze (pinauten.de)

Unos dodan 14. prosinca 2020.

Kernel

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: postojao je logički problem koji je uzrokovao oštećenje memorije. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2020-27904: Zuozhi Fan (@pattern_F_) (Ant Group Tianqong Security Lab)

Kernel

Učinak: napadač na privilegiranom položaju u mreži mogao bi se uvući u aktivne veze u VPN tunelu

Opis: problem s usmjeravanjem riješen je poboljšanim ograničenjima.

CVE-2019-14899: William J. Tolley, Beau Kujath i Jedidiah R. Crandall

Kernel

Učinak: zlonamjerna aplikacija mogla bi otkriti kernelsku memoriju. Apple je upoznat s izvještajima o tome da iskorištavatelj slabih točaka za ovaj problem postoji u divljini.

Opis: problem s inicijalizacijom memorije riješen je.

CVE-2020-27950: Google Project Zero

Kernel

Djelovanje: zlonamjerne aplikacije mogle su odrediti raspored elemenata memorije kernela

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2020-10016: Alex Helie

Kernel

Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod. Apple je upoznat s izvještajima o tome da iskorištavatelj slabih točaka za ovaj problem postoji u divljini.

Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.

CVE-2020-27932: Google Project Zero

libxml2

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-27917: otkrio OSS-Fuzz

CVE-2020-27920: otkrio OSS-Fuzz

Unos ažuriran 14. prosinca 2020.

libxml2

Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27911: otkrio OSS-Fuzz

libxpc

Učinak: zlonamjerne aplikacije mogle su si povećati ovlasti

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2020-9971: Zhipeng Huo (@R3dF09) (Tencentov sigurnosni odjel Xuanwu Lab)

Unos dodan 14. prosinca 2020.

libxpc

Učinak: zlonamjerne aplikacije mogle bi izaći izvan ograničene memorije

Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.

CVE-2020-10014: Zhipeng Huo (@R3dF09) (Tencentov sigurnosni odjel Xuanwu Lab)

Logging

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2020-10010: Tommy Muir (@Muirey03)

Mail

Učinak: udaljeni napadač mogao bi neočekivano promijeniti stanje aplikacije

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2020-9941: Fabian Ising (Sveučilište primijenjenih znanosti, FH Münster) i Damian Poddebniak (Sveučilište primijenjenih znanosti, FH Münster)

Messages

Učinak: lokalni korisnik mogao bi otkriti korisnikove izbrisane poruke

Opis: taj je problem riješen poboljšanim brisanjem.

CVE-2020-9988: William Breuer (Nizozemska)

CVE-2020-9989: von Brunn Media

Model I/O

Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-10011: Aleksandar Nikolic (Cisco Talos)

Unos dodan 14. prosinca 2020.

Model I/O

Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-13524: Aleksandar Nikolic (Cisco Talos)

Model I/O

Učinak: otvaranjem zlonamjerno stvorene datoteke aplikacija se može neočekivano zatvoriti ili se može izvršiti proizvoljni kod

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-10004: Aleksandar Nikolic (Cisco Talos)

NetworkExtension

Učinak: zlonamjerne aplikacije mogle su si povećati ovlasti

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9996: Zhiwei Yuan (tim iCore, Trend Micro), Junzhi Lu i Mickey Jin (Trend Micro)

NSRemoteView

Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2020-27901: Thijs Alkemade (Computest Research Division)

Unos dodan 14. prosinca 2020.

NSRemoteView

Učinak: zlonamjerna aplikacija mogla bi pregledavati datoteke kojima nema pristup

Opis: prilikom rukovanja snimkama postojao je problem. Problem je riješen poboljšanom logikom za dozvole.

CVE-2020-27900: Thijs Alkemade (Computest Research Division)

PCRE

Učinak: više problema u medijateci pcre

Opis: veći broj problema riješen je ažuriranjem na verziju 8.44.

CVE-2019-20838

CVE-2020-14155

Power Management

Djelovanje: zlonamjerne aplikacije mogle su odrediti raspored elemenata memorije kernela

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-10007: singi@theori u suradnji s inicijativom Zero Day tvrtke (Trend Micro)

python

Učinak: kolačići iz jednog ishodišta mogli bi se poslati drugom ishodištu

Opis: više problema riješeno je poboljšanom logikom.

CVE-2020-27896: anonimni istraživač

Quick Look

Učinak: zlonamjerna aplikacija mogla bi utvrditi postojanje datoteka na računalu

Opis: problem je riješen poboljšanim rukovanjem predmemorijama ikona.

CVE-2020-9963: Csaba Fitzl (@theevilbit) (Offensive Security)

Quick Look

Učinak: obradom zlonamjernog dokumenta moglo bi doći do napada unakrsnim skriptiranjem na više web-mjesta

Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.

CVE-2020-10012: Heige (KnownSec 404 Team (knownsec.com) i Bo Qu (Palo Alto Networks) (paloaltonetworks.com))

Unos je ažuriran 16. ožujka 2021.

Ruby

Učinak: udaljeni napadač mogao bi izmijeniti datotečni sustav

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2020-27896: anonimni istraživač

Ruby

Učinak: prilikom raščlanjivanja određenih JSON dokumenata json gem može se prisiliti na izradu arbitrarnih objekata u ciljnom sustavu

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2020-10663: Jeremy Evans

Safari

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake

Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9945: Narendra Bhati (Suma Soft Pvt.) Ltd. Pune (Indija) @imnarendrabhati

Safari

Učinak: zlonamjerna aplikacija mogla bi odrediti korisnikove otvorene kartice u pregledniku Safari

Opis: postojao je problem s provjerom valjanosti u provjeri valjanosti ovlasti. Taj je problem riješen poboljšanom provjerom valjanosti ovlasti za taj postupak.

CVE-2020-9977: Josh Parnham (@joshparnham)

Safari

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9942: anonimni istraživač, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora) (The City School, PAF Chapter), Ruilin Yang (Tencentov sigurnosni odjel Xuanwu Lab), YoKo Kho (@YoKoAcc) (PT Telekomunikasi Indonesia (Persero) Tbk), Zhiyang Zeng (@Wester) (OPPO ZIWU Security Lab)

Safari

Učinak: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem

Opis: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake.

CVE-2020-9987: Rafay Baloch (cybercitadel.com) (Cyber Citadel)

Stavka dodana 21. srpnja 2021.

Sandbox

Učinak: lokalna aplikacija mogla bi popisati korisnikove iCloud dokumente

Opis: problem je riješen poboljšanom logikom za dozvole.

CVE-2021-1803: Csaba Fitzl (@theevilbit) (Offensive Security)

Unos je dodan 16. ožujka 2021.

Sandbox

Učinak: lokalni korisnik mogao bi pregledavati osjetljive korisničke informacije

Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.

CVE-2020-9969: Wojciech Reguła (SecuRing) (wojciechregula.blog)

Screen Sharing

Učinak: korisnik s pristupom dijeljenju zaslona mogao bi vidjeti zaslon drugog korisnika

Opis: postojao je problem s dijeljenjem zaslona. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2020-27893: pcsgomes

Unos je dodan 16. ožujka 2021.

Siri

Učinak: osoba s fizičkim pristupom iOS uređaju mogla je sa zaključanog zaslona pristupiti kontaktima

Opis: problem sa zaključanim zaslonom omogućio je pristup kontaktima na zaključanom uređaju. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2021-1755: Yuval Ron, Amichai Shulman i Eli Biham (Technion – Izraelski institut za tehnologiju)

Unos je dodan 16. ožujka 2021.

smbx

Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi izazvati odbijanje usluge

Opis: problem iscrpljivanja resursa riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-10005: Apple

Unos je dodan 25. listopada 2021.

SQLite

Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2020-9991

SQLite

Učinak: udaljeni napadač mogao bi otkriti memoriju

Opis: problem s otkrivanjem podataka riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9849

SQLite

Učinak: veći broj problema u bazi podataka SQLite

Opis: više problema riješeno je poboljšanim provjerama.

CVE-2020-15358

SQLite

Učinak: zlonamjeran SQL upit može dovesti do oštećenja podataka

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2020-13631

SQLite

Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

SQLite

Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2020-13630

Symptom Framework

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-27899: 08Tc3wBB u suradnji s tvrtkom ZecOps

Unos dodan 14. prosinca 2020.

System Preferences

Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-10009: Thijs Alkemade (Computest Research Division)

TCC

Učinak: zlonamjerna aplikacija s korijenskim ovlastima mogla bi pristupiti privatnim podacima

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2020-10008: Wojciech Reguła (SecuRing) (wojciechregula.blog)

Unos dodan 14. prosinca 2020.

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-27918: Liu Long (Ant Security Light-Year Lab)

Unos ažuriran 14. prosinca 2020.

WebKit

Učinak: problem s korištenjem memorije nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom

Opis: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda.

CVE-2020-9947: cc u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2020-9950: cc u suradnji s inicijativom Zero Day (Trend Micro)

Stavka dodana 21. srpnja 2021.

Wi-Fi

Učinak: napadač bi mogao zaobići zaštitu upravljanog okvira

Opis: problem s odbijanjem pružanja usluge riješen je poboljšanim rukovanjem stanjem.

CVE-2020-27898: Stephan Marais (Sveučilište u Johannesburgu)

XNU

Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje

Opis: više problema riješeno je poboljšanom logikom.

CVE-2020-27935: Lior Halphon (@LIJI32)

Unos dodan 17. prosinca 2020.

Xsan

Učinak: zlonamjerna aplikacija mogla bi pristupiti ograničenim datotekama

Opis: ovaj je problem riješen poboljšanim pravima.

CVE-2020-10006: Wojciech Reguła (@_r3ggi) (SecuRing)

Dodatna zahvala

802.1X

Željeli bismo zahvaliti Kenani Dalleu (Sveučilište Hamad bin Khalifa) i Ryanu Rileyju (Sveučilište Carnegie Mellon u Kataru) na pomoći.

Unos dodan 14. prosinca 2020.

Audio

Željeli bismo zahvaliti JunDong Xieju, XingWei Linu (Ant-financial Light-Year Security Lab) Marcu Schoenefeldu Dr. rer. nat. na pomoći.

Unos je ažuriran 16. ožujka 2021.

Bluetooth

Željeli bismo zahvaliti Andyju Davisu (NCC Group) i Dennisu Heinzeu (@ttdennis) (Laboratorij za sigurne mobilne mreže Tehničkog sveučilišta u Darmstadtu) na pomoći.

Unos ažuriran 14. prosinca 2020.

Clang

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) na pomoći.

Core Location

Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) na pomoći.

Crash Reporter

Željeli bismo zahvaliti Arturu Byszkou (AFINE) na pomoći.

Unos dodan 14. prosinca 2020.

Directory Utility

Željeli bismo zahvaliti Wojciechu Regułi (@_r3ggi) (SecuRing) na pomoći.

iAP

Željeli bismo zahvaliti Andyju Davisu (NCC Group) na pomoći.

Kernel

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) i Stephenu Röttgeru (Google) na pomoći.

libxml2

Na pomoći zahvaljujemo anonimnom istraživaču.

Unos dodan 14. prosinca 2020.

Login Window

Željeli bismo zahvaliti Robu Mortonu (Leidos) na pomoći.

Unos je dodan 16. ožujka 2021.

Login Window

Željeli bismo zahvaliti Robu Mortonu (Leidos) na pomoći.

Photos Storage

Željeli bismo zahvaliti Paulosu Yibelou (LimeHats) na pomoći.

Quick Look

Željeli bismo zahvaliti Csabi Fitzlu (@theevilbit) i Wojciechu Regułi (SecuRing) (wojciechregula.blog) na pomoći.

Safari

Željeli bismo zahvaliti Gabrielu Coroni i Narendri Bhati (Suma Soft Pvt. Ltd. Pune (Indija)) @imnarendrabhati na pomoći.

Sandbox

Željeli bismo zahvaliti Saagaru Jhau na pomoći.

Unos je dodan 11. svibnja 2023.

Security

Željeli bismo zahvaliti Christianu Starkjohannu (Objective Development Software GmbH) na pomoći.

System Preferences

Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security).

Unos je dodan 16. ožujka 2021.

System Preferences

Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security).

WebKit

Maximilian Blochberger (Grupa za sigurnost u distribuiranim sustavima Sveučilišta u Hamburgu)

Unos je dodan 25. svibnja 2022.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 31. listopada 2023.