Informacije o sigurnosnom sadržaju sustava macOS Big Sur 11.1, sigurnosnog ažuriranja 2020-001 Catalina i sigurnosnog ažuriranja 2020-007 Mojave
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Big Sur 11.1, sigurnosnog ažuriranja 2020-001 Catalina i sigurnosnog ažuriranja 2020-007 Mojave.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Big Sur 11.1, sigurnosno ažuriranje 2020-001 Catalina, sigurnosno ažuriranje 2020-007 Mojave
AMD
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: neke zlonamjerne aplikacije mogle bi uz sistemske ovlasti izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-27914: Yu Wang (Didi Research America)
CVE-2020-27915: Yu Wang (Didi Research America)
AMD
Dostupno za: macOS Big Sur 11.0.1
Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-27936: Yu Wang (Didi Research America)
App Store
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2020-27903: Zhipeng Huo (@R3dF09) (Tencentov sigurnosni odjel Xuanwu Lab)
AppleGraphicsControl
Dostupno za sljedeće uređaje: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2020-27941: shrek_wzw
AppleMobileFileIntegrity
Dostupno za: macOS Big Sur 11.0.1
Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-29621: Wojciech Reguła (@_r3ggi) (SecuRing)
Audio
Dostupno za: macOS Big Sur 11.0.1
Učinak: obradom zlonamjerne audiodatoteke moglo bi doći do otkrivanja ograničene memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-29610: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)
Audio
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-27910: JunDong Xie i XingWei Lin (Ant Security Light-Year Lab)
Audio
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: neka bi zlonamjerna aplikacija mogla čitati ograničenu memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-9943: JunDong Xie (Ant Security Light-Year Lab)
Audio
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: neka bi aplikacija mogla čitati ograničenu memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-9944: JunDong Xie (Ant Security Light-Year Lab)
Audio
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-27916: JunDong Xie (Ant Security Light-Year Lab)
Bluetooth
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili oštećenje hrpe
Opis: višestruka prekoračenja cijelog broja riješena su poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-27906: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)
CoreAudio
Dostupno za sljedeće uređaje: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-27948: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-27908: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro), JunDong Xie i XingWei Lin (Ant Security Light-Year Lab)
CVE-2020-9960: JunDong Xie i Xingwei Lin (Ant Security Light-Year Lab)
CoreAudio
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-10017: Francis u suradnji s inicijativom Zero Day (Trend Micro), JunDong Xie (Ant Security Light-Year Lab)
CoreText
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-27922: Mickey Jin (Trend Micro)
CUPS
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: neka bi zlonamjerna aplikacija mogla čitati ograničenu memoriju
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanim rukovanjem memorijom.
CVE-2020-10001: Niky
FontParser
Dostupno za: macOS Big Sur 11.0.1
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: problem s otkrivanjem podataka riješen je poboljšanim upravljanjem stanjem.
CVE-2020-27946: Mateusz Jurczyk (Google Project Zero)
FontParser
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)
FontParser
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-27952: anonimni istraživač, Mickey Jin i Junzhi Lu (Trend Micro)
FontParser
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9956: Mickey Jin i Junzhi Lu (Istraživački tim za mobilnu sigurnost, Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)
FontParser
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: u obradi datoteka s fontovima postojao je problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-27931: Apple
CVE-2020-27943: Mateusz Jurczyk (Google Project Zero)
CVE-2020-27944: Mateusz Jurczyk (Google Project Zero)
CVE-2020-29624: Mateusz Jurczyk (Google Project Zero)
FontParser
Dostupno za: macOS Big Sur 11.0.1
Učinak: udaljeni napadač mogao bi otkriti memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-29608: Xingwei Lin (Ant Security Light-Year Lab)
Foundation
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: lokalni korisnik mogao bi čitati proizvoljne datoteke
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-10002: James Hutchins
Graphics Drivers
Dostupno za sljedeće uređaje: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-27947: ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro), Liu Long (Ant Security Light-Year Lab)
Graphics Drivers
Dostupno za sljedeće uređaje: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Učinak: neke zlonamjerne aplikacije mogle bi uz sistemske ovlasti izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-29612: ABC Research s.r.o. i inicijativa Zero Day (Trend Micro)
HomeKit
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: napadač s povlaštenim mrežnim ovlastima mogao bi neočekivano promijeniti stanje aplikacije
Opis: problem je riješen poboljšanom propagacijom postavki.
CVE-2020-9978: Luyi Xing, Dongfang Zhao i Xiaofeng Wang (Sveučilište Bloomington u Indijani), Yan Jia (Sveučilište Xidian i Sveučilište kineske akademije znanosti) i Bin Yuan (Sveučilište znanosti i tehnologije HuaZhong)
ImageIO
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-27939: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2020-29625: XingWei Lin (Ant Security Light-Year Lab)
ImageIO
Dostupno za: macOS Catalina 10.15.7 i macOS Big Sur 11.0.1
Učinak: obradom zlonamjerne slike moglo bi doći do uskraćivanja usluge
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-29615: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Dostupno za: macOS Big Sur 11.0.1
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-29616: zhouat i inicijativa Zero Day (Trend Micro)
ImageIO
Dostupno za sljedeće uređaje: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-27924: Lei Sun
CVE-2020-29618: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-29611: Alexandru-Vlad Niculae i Google Project Zero
ImageIO
Dostupno za sljedeće uređaje: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Učinak: obradom zlonamjerne slike može doći do oštećenja hrpe
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-29617: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2020-29619: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-27912: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2020-27923: Lei Sun
Image Processing
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-27919: Hou JingYi (@hjy79425575) (Qihoo 360 CERT), Xingwei Lin (Ant Security Light-Year Lab)
Intel Graphics Driver
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-10015: ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2020-27897: Xiaolong Bai i Min (Spark) Zheng (Alibaba Inc.) te Luyi Xing (Sveučilište Bloomington u Indiani)
Intel Graphics Driver
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-27907: ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro), Liu Long (Ant Security Light-Year Lab)
Kernel
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Djelovanje: zlonamjerne aplikacije mogle su odrediti raspored elemenata memorije kernela
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2020-10016: Alex Helie
Kernel
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9967: Alex Plaskett (@alexjplaskett)
Kernel
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9975: Tielei Wang (Pangu Lab)
Kernel
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2020-27921: Linus Henze (pinauten.de)
Kernel
Dostupno za sljedeće uređaje: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Učinak: zlonamjerna aplikacija mogla bi uzrokovati neočekivane promjene u memoriji koja pripada procesima koje prati DTrace
Opis: problem je riješen poboljšanim provjerama radi sprječavanja neovlaštenih radnji.
CVE-2020-27949: Steffen Klee (@_kleest) (TU Darmstadt, Secure Mobile Networking Lab)
Kernel
Dostupno za: macOS Big Sur 11.0.1
Učinak: zlonamjerne aplikacije mogle su si povećati ovlasti
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2020-29620: Csaba Fitzl (@theevilbit) (Offensive Security)
libxml2
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-27911: otkrio OSS-Fuzz
libxml2
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2020-27920: otkrio OSS-Fuzz
libxml2
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2020-27926: otkrio OSS-Fuzz
libxpc
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: zlonamjerne aplikacije mogle bi izaći izvan ograničene memorije
Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.
CVE-2020-10014: Zhipeng Huo (@R3dF09) (Tencentov sigurnosni odjel Xuanwu Lab)
Logging
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2020-10010: Tommy Muir (@Muirey03)
Login Window
Dostupno za: macOS Big Sur 11.0.1
Učinak: napadač s administratorskim mrežnim ovlastima mogao bi zaobići pravila o provjeri autentičnost
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2020-29633: Jewel Lambert (Original Spin, LLC.)
Model I/O
Dostupno za: macOS Big Sur 11.0.1
Učinak: obrada zlonamjerne datoteke može dovesti do oštećenja skupa
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-29614: ZhiWei Sun(@5n1p3r0010) (Topsec Alpha Lab)
Model I/O
Dostupno za: macOS Catalina 10.15.7
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-13520: Aleksandar Nikolic (Cisco Talos)
Model I/O
Dostupno za: macOS Catalina 10.15.7 i macOS Big Sur 11.0.1
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9972: Aleksandar Nikolic (Cisco Talos)
Model I/O
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-13524: Aleksandar Nikolic (Cisco Talos)
Model I/O
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: otvaranjem zlonamjerno stvorene datoteke aplikacija se može neočekivano zatvoriti ili se može izvršiti proizvoljni kod
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-10004: Aleksandar Nikolic (Cisco Talos)
NSRemoteView
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2020-27901: Thijs Alkemade (Computest Research Division)
Power Management
Dostupno za: macOS Big Sur 11.0.1
Učinak: zlonamjerne aplikacije mogle su si povećati ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-27938: Tim Michaud (@TimGMichaud) (Leviathan)
Power Management
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Djelovanje: zlonamjerne aplikacije mogle su odrediti raspored elemenata memorije kernela
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-10007: singi@theori u suradnji s inicijativom Zero Day tvrtke (Trend Micro)
Quick Look
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: obradom zlonamjernog dokumenta moglo bi doći do napada unakrsnim skriptiranjem na više web-mjesta
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2020-10012: Heige (KnownSec 404 Team (knownsec.com) i Bo Qu (Palo Alto Networks) (paloaltonetworks.com))
Ruby
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: udaljeni napadač mogao bi izmijeniti datotečni sustav
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2020-27896: anonimni istraživač
System Preferences
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-10009: Thijs Alkemade (Computest Research Division)
WebKit Storage
Dostupno za: macOS Big Sur 11.0.1
Učinak: korisnik možda neće u potpunosti moći izbrisati povijest pretraživanja
Opis: odabirom opcije „Očisti povijest i podatke web-mjesta” povijest se nije očistila. Problem je riješen poboljšanim brisanjem podataka.
CVE-2020-29623: Simon Hunt (OvalTwo LTD)
WebRTC
Dostupno za: macOS Big Sur 11.0.1
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2020-15969: anonimni istraživač
Wi-Fi
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: napadač bi mogao zaobići zaštitu upravljanog okvira
Opis: problem s odbijanjem pružanja usluge riješen je poboljšanim rukovanjem stanjem.
CVE-2020-27898: Stephan Marais (Sveučilište u Johannesburgu)
Dodatna zahvala
CoreAudio
Željeli bismo zahvaliti JunDongu Xieju i Xingweiju Linu (Ant Security Light-Year Lab) na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.