Informacije o sigurnosnom sadržaju sustava macOS Catalina 10.15.7, sigurnosnom ažuriranju 2020-005 High Sierra i sigurnosnom ažuriranju 2020-005 Mojave

U ovom se dokumentu opisuju sigurnosni sadržaj sustava macOS Catalina 10.15.7, sigurnosno ažuriranje 2020-005 High Sierra i sigurnosno ažuriranje 2020-005 Mojave.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Catalina 10.15.7, sigurnosno ažuriranje 2020-005 High Sierra, sigurnosno ažuriranje 2020-005 Mojave

CoreAudio

Dostupno za: macOS Catalina 10.15

Učinak: reprodukcija zlonamjerne audiodatoteke može uzrokovati izvršavanje proizvoljnog koda

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9954: Francis u suradnji s inicijativom Zero Day (Trend Micro), JunDong Xie (Ant Group Light-Year Security Lab)

Pronalaženje

Dostupno za: macOS Catalina 10.15

Učinak: zlonamjerna aplikacija mogla bi čitati osjetljive informacije o lokaciji

Opis: postojao je problem s pristupom datotekama s određenim datotekama u početnoj mapi. Problem je riješen poboljšanim ograničenjima pristupa.

CVE-2020-9986: Tim Kornhuber, Milan Stute i Alexander Heinrich (TU Darmstadt, Laboratorij za sigurne mobilne mreže)

Ulaz i izlaz slika

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9961: Xingwei Lin (Ant Security Light-Year Lab)

libxml2

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9981: otkrio OSS-Fuzz

Mail

Dostupno za: macOS High Sierra 10.13.6

Učinak: udaljeni napadač možda će moći neočekivano promijeniti stanje aplikacije

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2020-9941: Fabian Ising (Sveučilište primijenjenih znanosti, FH Münster) i Damian Poddebniak (Sveučilište primijenjenih znanosti, FH Münster)

Ulaz/izlaz za model

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili proizvoljnog izvršavanja koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-10011: Aleksandar Nikolic (Cisco Talos)

CVE-2020-9973: Aleksandar Nikolic (Cisco Talos)

Ulaz/izlaz za model

Dostupno za sustave macOS Mojave 10.14.6 i macOS Catalina 10.15

Učinak: obrada zlonamjerne USD datoteke mogla bi dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-13520: Aleksandar Nikolic (Cisco Talos)

Memorija za testiranje

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: zlonamjerna aplikacija može pristupiti ograničenim datotekama

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2020-9968: Adam Chester (@_xpn_) (TrustedSec)

Wi-Fi

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-10013: Yu Wang (Didi Research America)

Dodatna zahvala

Bluetooth

Željeli bismo zahvaliti Andyju Davisu (NCC grupa) na pomoći.