Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Catalina 10.15.7, sigurnosno ažuriranje 2020-005 High Sierra, sigurnosno ažuriranje 2020-005 Mojave
Objavljeno 24. rujna 2020.
CoreAudio
Dostupno za: macOS Catalina 10.15
Učinak: reprodukcija zlonamjerne audiodatoteke može uzrokovati izvršavanje proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9954: Francis u suradnji s inicijativom Zero Day (Trend Micro), JunDong Xie (Ant Group Light-Year Security Lab)
Unos je dodan 12. studenog 2020.
Pronalaženje
Dostupno za: macOS Catalina 10.15
Učinak: zlonamjerna aplikacija mogla bi čitati osjetljive informacije o lokaciji
Opis: postojao je problem s pristupom datotekama s određenim datotekama u početnoj mapi. Problem je riješen poboljšanim ograničenjima pristupa.
CVE-2020-9986: Tim Kornhuber, Milan Stute i Alexander Heinrich (TU Darmstadt, Laboratorij za sigurne mobilne mreže)
Unos je dodan 12. studenog 2020.
Ulaz i izlaz slika
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9961: Xingwei Lin (Ant Security Light-Year Lab)
Unos je ažuriran 12. studenog 2020.
libxml2
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9981: otkrio OSS-Fuzz
Unos je dodan 12. studenog 2020., a ažuriran 16. ožujka 2021.
Dostupno za: macOS High Sierra 10.13.6
Učinak: udaljeni napadač možda će moći neočekivano promijeniti stanje aplikacije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-9941: Fabian Ising (Sveučilište primijenjenih znanosti, FH Münster) i Damian Poddebniak (Sveučilište primijenjenih znanosti, FH Münster)
Ulaz/izlaz za model
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili proizvoljnog izvršavanja koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-10011: Aleksandar Nikolic (Cisco Talos)
CVE-2020-9973: Aleksandar Nikolic (Cisco Talos)
Unos je ažuriran 12. studenog 2020.
Ulaz/izlaz za model
Dostupno za sustave macOS Mojave 10.14.6 i macOS Catalina 10.15
Učinak: obrada zlonamjerne USD datoteke mogla bi dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-13520: Aleksandar Nikolic (Cisco Talos)
Unos je dodan 12. studenog 2020.
Memorija za testiranje
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: zlonamjerna aplikacija može pristupiti ograničenim datotekama
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2020-9968: Adam Chester (@_xpn_) (TrustedSec)
Unos je ažuriran 12. studenog 2020.
Wi-Fi
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-10013: Yu Wang (Didi Research America)
Unos dodan 16. ožujka 2021.
Dodatna zahvala
Bluetooth
Željeli bismo zahvaliti Andyju Davisu (NCC grupa) na pomoći.