Informacije o sigurnosnom sadržaju sustava macOS Catalina 10.15.6, sigurnosnom ažuriranju 2020-004 Mojave i sigurnosnom ažuriranju 2020-004 High Sierra

U ovom dokumentu opisuje se sigurnosni sadržaj za macOS Catalina 10.15.6, sigurnosno ažuriranje 2020-004 Mojave i sigurnosno ažuriranje 2020-004 High Sierra.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Catalina 10.15.6, sigurnosno ažuriranje 2020-004 Mojave, sigurnosno ažuriranje 2020-004 High Sierra

Objavljeno 15. srpnja 2020.

AMD

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9927: Lilang Wu u suradnji s TrendMicro Zero Day Initiative

Unos je ažuriran 5. kolovoza 2020.

Zvuk

Dostupno za: macOS Catalina 10.15.5

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9884: Yu Zhou (@yuzhou6666) iz 小鸡帮 u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2020-9889: anonimni istraživač u suradnji sa Zero Day Initiative (Trend Micro), JunDong Xie i XingWei Lin (Ant-financial Light-Year Security Lab)

Unos je ažuriran 5. kolovoza 2020.

Zvuk

Dostupno za: macOS Catalina 10.15.5

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9888: JunDong Xie i XingWei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9890: JunDong Xie i XingWei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9891: JunDong Xie i XingWei Lin (Ant-financial Light-Year Security Lab)

Unos je ažuriran 5. kolovoza 2020.

Bluetooth

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2020-9928: Yu Wang (Didi Research America)

Unos je dodan 5. kolovoza 2020.

Bluetooth

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9929: Yu Wang (Didi Research America)

Unos je dodan 5. kolovoza 2020.

Clang

Dostupno za: macOS Catalina 10.15.5

Učinak: Clang može generirati strojni kod koji neće pravilno provesti kodove za autorizaciju pokazivača

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2020-9870: Samuel Groß (Google Project Zero)

CoreAudio

Dostupno za: macOS High Sierra 10.13.6

Učinak: prekoračenje međuspremnika može rezultirati proizvoljnim izvršenjem koda

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2020-9866: Yu Zhou (小鸡帮) i Jundong Xie (Ant-financial Light-Year Security Lab)

Core Bluetooth

Dostupno za: macOS Catalina 10.15.5

Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9869: Patrick Wardle (Jamf)

Unos je dodan 5. kolovoza 2020.

CoreCapture

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9949: Proteas

Unos je dodan 12. studenog 2020.

CoreFoundation

Dostupno za: macOS Catalina 10.15.5

Učinak: lokalni korisnik može pregledavati povjerljive korisničke informacije

Opis: problem je postojao u rukovanju varijablama okruženja. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)

Unos je ažuriran 5. kolovoza 2020.

Jezgrena grafika

Dostupno za: macOS Catalina 10.15.5

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9883: anonimni istraživač, Mickey Jin (Trend Micro)

Unos je dodan 24. srpnja 2020., a ažuriran 12. studenog 2020.

Izvješće o padu sustava

Dostupno za: macOS Catalina 10.15.5

Učinak: zlonamjerne aplikacije mogu izaći izvan ograničene memorije

Opis: problem s oštećenjem memorije riješen je uklanjanjem koda sa slabim točkama.

CVE-2020-9865: Zhuo Liang (Qihoo 360 Vulcan Team) u suradnji s 360 BugCloud

Izvješće o padu sustava

Dostupno za: macOS Catalina 10.15.5

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: u logici za provjeru valjanosti puta za simboličke veze postojao je problem. Taj je problem riješen poboljšanim čišćenjem puta.

CVE-2020-9900: Zhongcheng Li (CK01) (Zero-dayits Team, Legendsec u tvrtki Qi'anxin Group)

Unos je dodan 5. kolovoza 2020.

Parser za font

Dostupno za: macOS Catalina 10.15.5

Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9980: Xingwei Lin (Ant Security Light-Year Lab)

Unos je dodan 21. rujna 2020., a ažuriran 19. listopada 2020.

Upravljački programi za grafiku

Dostupno za: macOS Catalina 10.15.5

Učinak: uz kernelske ovlasti zlonamjerna aplikacija može izvršiti proizvoljni kod

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9799: ABC Research s.r.o.

Unos ažuriran 24. srpnja 2020.

Heimdal

Dostupno za: macOS Catalina 10.15.5

Učinak: lokalni je korisnik mogao otkriti povjerljive korisničke podatke

Opis: taj je problem riješen poboljšanom zaštitom podataka.

CVE-2020-9913: Cody Thomas (SpecterOps)

Ulaz i izlaz slika

Dostupno za: macOS Catalina 10.15.5

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27933: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Unos dodan 16. ožujka 2021.

Ulaz i izlaz slika

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: postojalo je više problema s prekoračenjem međuspremnika u formatu openEXR

Opis: više problema u formatu openEXR riješeno je poboljšanim provjerama.

CVE-2020-11758: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11759: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11760: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11761: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11762: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11763: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11764: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11765: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Unos je dodan 8. rujna 2020.

Ulaz i izlaz slika

Dostupno za: macOS Catalina 10.15.5

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9871: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9872: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9874: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9879: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9936: Mickey Jin (Trend Micro)

CVE-2020-9937: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Unos je ažuriran 5. kolovoza 2020.

Ulaz i izlaz slika

Dostupno za: macOS Catalina 10.15.5

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9919: Mickey Jin (Trend Micro)

Unos je dodan 24. srpnja 2020.

Ulaz i izlaz slika

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: otvaranje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9876: Mickey Jin (Trend Micro)

Unos je dodan 24. srpnja 2020.

Ulaz i izlaz slika

Dostupno za: macOS Catalina 10.15.5

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9873: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9938: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Unos je dodan 24. srpnja 2020.

Ulaz i izlaz slika

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9877: Xingwei Lin (Ant-financial Light-Year Security Lab)

Unos je dodan 5. kolovoza 2020.

Ulaz i izlaz slika

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9875: Mickey Jin (Trend Micro)

Unos je dodan 5. kolovoza 2020.

Ulaz i izlaz slika

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9873: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9938: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9984: anonimni istraživač

Unos je dodan 21. rujna 2020.

Obrada slika

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: prikazom zlonamjerno stvorene JPEG datoteke moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9887: Mickey Jin (Trend Micro)

Unos je dodan 8. rujna 2020.

Intelov grafički upravljački program

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9908: Junzhi Lu(@pwn0rz) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 24. srpnja 2020., a ažuriran 31. kolovoza 2020.

Intelov grafički upravljački program

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: uz kernelske ovlasti zlonamjerna aplikacija može izvršiti proizvoljni kod

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2020-9990: ABC Research s.r.l. u suradnji s inicijativom Zero Day (Trend Micro), ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 21. rujna 2020.

Intelov grafički upravljački program

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9921: ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 5. kolovoza 2020.

Kernel

Dostupno za: macOS Catalina 10.15.5

Učinak: napadač na privilegiranom položaju u mreži mogao bi se uvući u aktivne veze u VPN tunelu

Opis: problem s usmjeravanjem riješen je poboljšanim ograničenjima.

CVE-2019-14899: William J. Tolley, Beau Kujath i Jedidiah R. Crandall

Kernel

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9904: Tielei Wang (Pangu Lab)

Unos je dodan 24. srpnja 2020.

Kernel

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9924: Matt DeVore (Google)

Unos je dodan 24. srpnja 2020.

Kernel

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9892: Andy Nguyen (Google)

Unos je dodan 24. srpnja 2020.

Kernel

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9863: Xinru Chi (Pangu Lab)

Unos je ažuriran 5. kolovoza 2020.

Kernel

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: zlonamjerna aplikacija mogla bi odrediti raspored elemenata kernelske memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9902: Xinru Chi i Tielei Wang (Pangu Lab)

Unos je dodan 5. kolovoza 2020.

Kernel

Dostupno za: macOS Catalina 10.15.5

Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2020-9905: Raz Mashat (@RazMashat) (ZecOps)

Unos je dodan 5. kolovoza 2020.

Kernel

Dostupno za: macOS Catalina 10.15.5

Učinak: zlonamjerna aplikacija može otkriti ograničenu memoriju

Opis: problem s otkrivanjem informacija riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9997: Catalin Valeriu Lita (SecurityScorecard)

Unos je dodan 21. rujna 2020.

libxml2

Dostupno za: macOS Catalina 10.15.5

Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9926: otkrio OSS-Fuzz

Unos dodan 16. ožujka 2021.

libxpc

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: zlonamjerna aplikacija može prebrisati proizvoljne datoteke

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2020-9994: Apple

Unos je dodan 21. rujna 2020.

Prozor za prijavu

Dostupno za: macOS Catalina 10.15.5

Učinak: korisnik bi neočekivano mogao biti prijavljen na tuđi korisnički račun

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9935: anonimni istraživač

Unos je dodan 21. rujna 2020.

Mail

Dostupno za: macOS Catalina 10.15.5

Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2019-19906

Unos je dodan 24. srpnja 2020., a ažuriran 8. rujna 2020.

Mail

Dostupno za: macOS Catalina 10.15.5

Učinak: zlonamjerni e-mail poslužitelj može prebrisati proizvoljne e-mail datoteke

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2020-9920: YongYue Wang alias BigChan (Hillstone Networks AF Team)

Unos je dodan 24. srpnja 2020.

Mail

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: obradom zlonamjerne poruke e-pošte može dovesti do pisanja proizvoljnih datoteka

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9922: Mikko Kenttälä (@Turmio_) (SensorFu)

Unos je dodan 12. studenog 2020.

Poruke

Dostupno za: macOS Catalina 10.15.5

Učinak: korisnik uklonjen iz grupe iMessage mogao se ponovno pridružiti grupi

Opis: postojao je problem s postupanjem sa značajkom Tapback u servisu iMessage. Problem je riješen dodatnom provjerom.

CVE-2020-9885: anonimni istraživač, Suryansh Mansharamani, iz WWP High School North (medium.com/@suryanshmansha)

Ulaz/izlaz za model

Dostupno za: macOS Catalina 10.15.5

Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili proizvoljnog izvršavanja koda

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9878: Holger Fuhrmannek (Deutsche Telekom Security)

Ulaz/izlaz za model

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili proizvoljnog izvršavanja koda

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2020-9880: Holger Fuhrmannek (Deutsche Telekom Security)

Unos je dodan 24. srpnja 2020., a ažuriran 21. rujna 2020.

Ulaz/izlaz za model

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili proizvoljnog izvršavanja koda

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9878: Aleksandar Nikolic (Cisco Talos), Holger Fuhrmannek (Deutsche Telekom Security)

CVE-2020-9881: Holger Fuhrmannek (Deutsche Telekom Security)

CVE-2020-9882: Holger Fuhrmannek (Deutsche Telekom Security)

CVE-2020-9940: Holger Fuhrmannek (Deutsche Telekom Security)

CVE-2020-9985: Holger Fuhrmannek (Deutsche Telekom Security)

Unos je dodan 24. srpnja 2020., a ažuriran 21. rujna 2020.

OpenLDAP

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2020-12243

Unos je dodan 21. rujna 2020.

Perl

Dostupno za: macOS Catalina 10.15.5

Učinak: prekoračenje cijelog broja u Perl kompilatoru regularnih izraza mogao bi omogućiti udaljenom napadaču umetanje uputa u kompilirani oblik regularnog izraza

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2020-10878: Hugo van der Sanden i Slaven Rezic

Unos dodan 16. ožujka 2021.

Perl

Dostupno za: macOS Catalina 10.15.5

Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2020-12723: Sergey Aleynikov

Unos dodan 16. ožujka 2021.

rsync

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: udaljeni napadač može prebrisati postojeće datoteke

Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.

CVE-2014-9512: gaojianfeng

Unos je dodan 24. srpnja 2020.

Memorija za testiranje

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9930: Zhiyi Zhang (tim Codesafe, Legendsec grupacije Qi'anxin)

Unos dodan 15. prosinca 2020.

Memorija za testiranje

Dostupno za: macOS Catalina 10.15.5

Učinak: lokalni korisnik mogao bi učitati nedodijeljena proširenja kernela

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2020-9939: @jinmo123, @setuid0x0_ i @insu_yun_en (@SSLab_Gatech) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 5. kolovoza 2020.

Sigurnost

Dostupno za: macOS Catalina 10.15.5

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2020-9864: Alexander Holodny

Sigurnost

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: napadač je možda mogao oponašati pouzdano web-mjesto korištenjem materijala dijeljenog ključa za certifikat koji je dodao administrator

Opis: postojao je problem s potvrdom valjanosti certifikata prilikom obrade certifikata koje je dodao administrator. Problem je riješen poboljšanjem potvrde valjanosti certifikata.

CVE-2020-9868: Brian Wolff (Asana)

Unos je dodan 24. srpnja 2020.

Sigurnost

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: aplikacije mogu dobiti veće ovlasti

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2020-9854: Ilias Morad (A2nkF)

Unos je dodan 24. srpnja 2020.

sysdiagnose

Dostupno za: macOS Catalina 10.15.5

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: u logici za provjeru valjanosti puta za simboličke veze postojao je problem. Taj je problem riješen poboljšanim čišćenjem puta.

CVE-2020-9901: Tim Michaud (@TimGMichaud) (Leviathan), Zhongcheng Li (CK01) (tim Zero-dayits, Legendsec, Qi'anxin Group)

Unos je dodan 5. kolovoza 2020., a ažuriran 31. kolovoza 2020.

Vim

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-20807: Guilherme de Almeida Suckevicz

WebDAV

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: proces u memoriji za testiranje mogao je zaobići ograničenja memorije za testiranje

Opis: problem je riješen poboljšanim pravima.

CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)

Unos je dodan 8. rujna 2020.

Wi-Fi

Dostupno za: macOS Catalina 10.15.5

Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9918: Jianjun Dai (360 Alpha Lab) u suradnji s 360 BugCloud (bugcloud.360.cn)

Wi-Fi

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9899: Yu Wang (Didi Research America)

Unos je dodan 24. srpnja 2020.

Wi-Fi

Dostupno za: macOS Catalina 10.15.5

Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9906: Ian Beer (Google Project Zero)

Unos je dodan 24. srpnja 2020.

Dodatna zahvala

CoreFoundation

Željeli bismo zahvaliti Bobbyju Pelletieru na pomoći.

Unos je dodan 8. rujna 2020.

Ulaz i izlaz slika

Željeli bismo zahvaliti Xingweiju Linu (Ant-financial Light-Year Security Lab) na pomoći.

Unos je dodan 21. rujna 2020.

Siri

Željeli bismo zahvaliti Yuvalu Ronu, Amichaiju Shulmanu i Eliju Bihamu (Technion – Izraelski institut za tehnologiju) na pomoći.

Unos je dodan 5. kolovoza 2020.

USB Audio

Željeli bismo zahvaliti Andyju Davisu (NCC grupa) na pomoći.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: