Informacije o sigurnosnom sadržaju sustava macOS Catalina 10.15.6, sigurnosnom ažuriranju 2020-004 Mojave i sigurnosnom ažuriranju 2020-004 High Sierra
U ovom je dokumentu opisan sigurnosni sadržaj za macOS Catalina 10.15.6, sigurnosno ažuriranje 2020-004 Mojave i sigurnosno ažuriranje 2020-004 High Sierra.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Catalina 10.15.6, sigurnosno ažuriranje 2020-004 Mojave, sigurnosno ažuriranje 2020-004 High Sierra
AMD
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9927: Lilang Wu u suradnji s TrendMicro Zero Day Initiative
Audio
Dostupno za: macOS Catalina 10.15.5
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-9884: Yu Zhou (@yuzhou6666) iz 小鸡帮 u suradnji s inicijativom Zero Day tvrtke Trend Micro
CVE-2020-9889: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro), JunDong Xie i XingWei Lin (Ant-Financial Light-Year Security Lab)
Audio
Dostupno za: macOS Catalina 10.15.5
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-9888: JunDong Xie i XingWei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9890: JunDong Xie i XingWei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9891: JunDong Xie i XingWei Lin (Ant-Financial Light-Year Security Lab)
Bluetooth
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2020-9928: Yu Wang (Didi Research America)
Bluetooth
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9929: Yu Wang (Didi Research America)
Clang
Dostupno za: macOS Catalina 10.15.5
Učinak: Clang može generirati strojni kod koji neće pravilno provesti kodove za autorizaciju pokazivača
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2020-9870: Samuel Groß (Google Project Zero)
CoreAudio
Dostupno za: macOS High Sierra 10.13.6
Učinak: prekoračenje međuspremnika može rezultirati proizvoljnim izvršenjem koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2020-9866: Yu Zhou (小鸡帮) i Jundong Xie (Ant-financial Light-Year Security Lab)
Core Bluetooth
Dostupno za: macOS Catalina 10.15.5
Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9869: Patrick Wardle (Jamf)
CoreCapture
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9949: Proteas
CoreFoundation
Dostupno za: macOS Catalina 10.15.5
Učinak: lokalni korisnik mogao bi pregledavati osjetljive korisničke informacije
Opis: problem je postojao u rukovanju varijablama okruženja. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)
CoreGraphics
Dostupno za: macOS Catalina 10.15.5
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9883: anonimni istraživač, Mickey Jin (Trend Micro)
Crash Reporter
Dostupno za: macOS Catalina 10.15.5
Učinak: neka bi zlonamjerna aplikacija mogla izaći izvan svoje ograničene memorije
Opis: problem s oštećenjem memorije riješen je uklanjanjem koda sa slabim točkama.
CVE-2020-9865: Zhuo Liang (Qihoo 360 Vulcan Team) u suradnji s 360 BugCloud
Crash Reporter
Dostupno za: macOS Catalina 10.15.5
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: u logici za provjeru valjanosti puta za simboličke veze postojao je problem. Taj je problem riješen poboljšanim čišćenjem puta.
CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) (Zero-dayits Team of Legendsec, Qi'anxin Group)
FontParser
Dostupno za: macOS Catalina 10.15.5
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-9980: Xingwei Lin (Ant Security Light-Year Lab)
Graphics Drivers
Dostupno za: macOS Catalina 10.15.5
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-9799: ABC Research s.r.o.
Heimdal
Dostupno za: macOS Catalina 10.15.5
Učinak: lokalni je korisnik mogao otkriti povjerljive korisničke podatke
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2020-9913: Cody Thomas (SpecterOps)
ImageIO
Dostupno za: macOS Catalina 10.15.5
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-27933: Xingwei Lin (Ant-Financial Light-Year Security Lab)
ImageIO
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: postojalo je više problema s prekoračenjem međuspremnika u formatu openEXR
Opis: više problema u formatu openEXR riješeno je poboljšanim provjerama.
CVE-2020-11758: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11759: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11760: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11761: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11762: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11763: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11764: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11765: Xingwei Lin (Ant-Financial Light-Year Security Lab)
ImageIO
Dostupno za: macOS Catalina 10.15.5
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-9871: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9872: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9874: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9879: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9936: Mickey Jin (Trend Micro)
CVE-2020-9937: Xingwei Lin (Ant-Financial Light-Year Security Lab)
ImageIO
Dostupno za: macOS Catalina 10.15.5
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9919: Mickey Jin (Trend Micro)
ImageIO
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: otvaranje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-9876: Mickey Jin (Trend Micro)
ImageIO
Dostupno za: macOS Catalina 10.15.5
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9873: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9938: Xingwei Lin (Ant-Financial Light-Year Security Lab)
ImageIO
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-9877: Xingwei Lin (Ant-financial Light-Year Security Lab)
ImageIO
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9875: Mickey Jin (Trend Micro)
ImageIO
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9873: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9938: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9984: anonimni istraživač
Image Processing
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: prikazom zlonamjerno stvorene JPEG datoteke moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9887: Mickey Jin (Trend Micro)
Intel Graphics Driver
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9908: Junzhi Lu(@pwn0rz) u suradnji s inicijativom Zero Day (Trend Micro)
Intel Graphics Driver
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2020-9990: ABC Research s.r.l. u suradnji s inicijativom Zero Day (Trend Micro), ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro)
Intel Graphics Driver
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: neke zlonamjerne aplikacije mogle bi uz sistemske ovlasti izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9921: ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro)
Kernel
Dostupno za: macOS Catalina 10.15.5
Učinak: napadač na privilegiranom položaju u mreži mogao bi se uvući u aktivne veze u VPN tunelu
Opis: problem s usmjeravanjem riješen je poboljšanim ograničenjima.
CVE-2019-14899: William J. Tolley, Beau Kujath i Jedidiah R. Crandall
Kernel
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2020-9904: Tielei Wang (Pangu Lab)
Kernel
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-9924: Matt DeVore (Google)
Kernel
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: neke zlonamjerne aplikacije mogle bi uz sistemske ovlasti izvršiti proizvoljni kod
Opis: nekoliko problema s oštećenom memorijom riješeno je boljim upravljanjem stanjem.
CVE-2020-9892: Andy Nguyen (Google)
Kernel
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9863: Xinru Chi (Pangu Lab)
Kernel
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: zlonamjerna aplikacija mogla bi odrediti raspored elemenata kernelske memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-9902: Xinru Chi i Tielei Wang (Pangu Lab)
Kernel
Dostupno za: macOS Catalina 10.15.5
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2020-9905: Raz Mashat (@RazMashat) (ZecOps)
Kernel
Dostupno za: macOS Catalina 10.15.5
Učinak: zlonamjerna aplikacija može otkriti ograničenu memoriju
Opis: problem s otkrivanjem informacija riješen je poboljšanim upravljanjem stanjem.
CVE-2020-9997: Catalin Valeriu Lita (SecurityScorecard)
libxml2
Dostupno za: macOS Catalina 10.15.5
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9926: otkrio OSS-Fuzz
libxpc
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: zlonamjerna aplikacija može prebrisati proizvoljne datoteke
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2020-9994: Apple
Login Window
Dostupno za: macOS Catalina 10.15.5
Učinak: korisnik bi neočekivano mogao biti prijavljen na tuđi korisnički račun
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-9935: anonimni istraživač
Dostupno za: macOS Catalina 10.15.5
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-19906
Dostupno za: macOS Catalina 10.15.5
Učinak: zlonamjerni e-mail poslužitelj može prebrisati proizvoljne e-mail datoteke
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2020-9920: YongYue Wang alias BigChan (Hillstone Networks AF Team)
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: obradom zlonamjerne poruke e-pošte može dovesti do pisanja proizvoljnih datoteka
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-9922: Mikko Kenttälä (@Turmio_) (SensorFu)
Messages
Dostupno za: macOS Catalina 10.15.5
Učinak: korisnik koji je uklonjen iz iMessage grupe mogao bi se ponovno pridružiti grupi
Opis: postojao je problem s postupanjem sa značajkom Tapback u servisu iMessage. Problem je riješen dodatnom provjerom.
CVE-2020-9885: anonimni istraživač, Suryansh Mansharamani, iz WWP High School North (medium.com/@suryanshmansha)
Model I/O
Dostupno za: macOS Catalina 10.15.5
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9878: Holger Fuhrmannek (Deutsche Telekom Security)
Model I/O
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2020-9880: Holger Fuhrmannek (Deutsche Telekom Security)
Model I/O
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9878: Aleksandar Nikolic (Cisco Talos), Holger Fuhrmannek (Deutsche Telekom Security)
CVE-2020-9881: Holger Fuhrmannek (Deutsche Telekom Security)
CVE-2020-9882: Holger Fuhrmannek (Deutsche Telekom Security)
CVE-2020-9940: Holger Fuhrmannek (Deutsche Telekom Security)
CVE-2020-9985: Holger Fuhrmannek (Deutsche Telekom Security)
OpenLDAP
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-12243
Perl
Dostupno za: macOS Catalina 10.15.5
Učinak: prekoračenje cijelog broja u Perl kompilatoru regularnih izraza mogao bi omogućiti udaljenom napadaču umetanje uputa u kompilirani oblik regularnog izraza
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-10878: Hugo van der Sanden i Slaven Rezic
Perl
Dostupno za: macOS Catalina 10.15.5
Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-12723: Sergey Aleynikov
rsync
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: udaljeni napadač mogao je prebrisati postojeće datoteke
Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2014-9512: gaojianfeng
Sandbox
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9930: Zhiyi Zhang (tim Codesafe, Legendsec grupacije Qi'anxin)
Sandbox
Dostupno za: macOS Catalina 10.15.5
Učinak: lokalni korisnik mogao bi učitati nedodijeljena proširenja kernela
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-9939: @jinmo123, @setuid0x0_ i @insu_yun_en (@SSLab_Gatech) u suradnji s inicijativom Zero Day (Trend Micro)
Security
Dostupno za: macOS Catalina 10.15.5
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2020-9864: Alexander Holodny
Security
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: napadač je možda mogao oponašati pouzdano web-mjesto korištenjem materijala dijeljenog ključa za certifikat koji je dodao administrator
Opis: postojao je problem s potvrdom valjanosti certifikata prilikom obrade certifikata koje je dodao administrator. Problem je riješen poboljšanjem potvrde valjanosti certifikata.
CVE-2020-9868: Brian Wolff (Asana)
Security
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2020-9854: Ilias Morad (A2nkF)
sysdiagnose
Dostupno za: macOS Catalina 10.15.5
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: u logici za provjeru valjanosti puta za simboličke veze postojao je problem. Taj je problem riješen poboljšanim čišćenjem puta.
CVE-2020-9901: Tim Michaud (@TimGMichaud) (Leviathan), Zhongcheng Li (CK01) (tim Zero-dayits, Legendsec, Qi'anxin Group)
Vim
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-20807: Guilherme de Almeida Suckevicz
WebDAV
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: proces u memoriji za testiranje mogao je zaobići ograničenja memorije za testiranje
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)
Wi-Fi
Dostupno za: macOS Catalina 10.15.5
Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9918: Jianjun Dai (360 Alpha Lab) u suradnji s 360 BugCloud (bugcloud.360.cn)
Wi-Fi
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9899: Yu Wang (Didi Research America)
Wi-Fi
Dostupno za: macOS Catalina 10.15.5
Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9906: Ian Beer (Google Project Zero)
Dodatna zahvala
CoreFoundation
Željeli bismo zahvaliti Bobbyju Pelletieru na pomoći.
ImageIO
Željeli bismo zahvaliti Xingweiju Linu (Ant-financial Light-Year Security Lab) na pomoći.
Siri
Željeli bismo zahvaliti Yuvalu Ronu, Amichaiju Shulmanu i Eliju Bihamu (Technion – Izraelski institut za tehnologiju) na pomoći.
USB Audio
Željeli bismo zahvaliti Andyju Davisu (NCC Group) na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.