Informacije o sigurnosnom sadržaju sustava macOS Big Sur 11.1, sigurnosnog ažuriranja 2020-001 Catalina i sigurnosnog ažuriranja 2020-007 Mojave

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Big Sur 11.1, sigurnosnog ažuriranja 2020-001 Catalina i sigurnosnog ažuriranja 2020-007 Mojave.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Big Sur 11.1, sigurnosno ažuriranje 2020-001 Catalina, sigurnosno ažuriranje 2020-007 Mojave

Objavljeno 14. prosinca 2020.

AMD

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27914: Yu Wang (Didi Research America)

CVE-2020-27915: Yu Wang (Didi Research America)

AMD

Dostupno za: macOS Big Sur 11.0.1

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.

Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27936: Yu Wang (Didi Research America)

Unos dodan 1. veljače 2021.

App Store

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: neka aplikacija mogla bi dobiti veće ovlasti

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2020-27903: Zhipeng Huo (@R3dF09) (Tencentov sigurnosni odjel Xuanwu Lab)

AppleGraphicsControl

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2020-27941: shrek_wzw

AppleMobileFileIntegrity

Dostupno za: macOS Big Sur 11.0.1

Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2020-29621: Wojciech Reguła (@_r3ggi) (SecuRing)

Zvuk

Dostupno za: macOS Big Sur 11.0.1

Učinak: obradom zlonamjerne audiodatoteke može doći do otkrivanja ograničene memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-29610: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)

Unos dodan 16. ožujka 2021.

Zvuk

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27910: JunDong Xie i XingWei Lin (Ant Security Light-Year Lab)

Zvuk

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: zlonamjerne su aplikacije mogle čitati ograničenu memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9943: JunDong Xie (Ant Security Light-Year Lab)

Zvuk

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: neke aplikacije mogu čitati ograničenu memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9944: JunDong Xie (Ant Security Light-Year Lab)

Zvuk

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27916: JunDong Xie (Ant Security Light-Year Lab)

Bluetooth

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili oštećenje hrpe

Opis: višestruka prekoračenja cijelog broja riješena su poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27906: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)

CoreAudio

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-27948: JunDong Xie (Ant Security Light-Year Lab)

CoreAudio

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27908: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro), JunDong Xie i XingWei Lin (Ant Security Light-Year Lab)

CVE-2020-9960: JunDong Xie i Xingwei Lin (Ant Security Light-Year Lab)

Unos je ažuriran 16. ožujka 2021.

CoreAudio

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-10017: Francis i inicijativa Zero Day (Trend Micro), JunDong Xie (Ant Security Light-Year Lab)

Jezgreni tekst

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-27922: Mickey Jin (Trend Micro)

CUPS

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: zlonamjerne su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanim rukovanjem memorijom.

CVE-2020-10001: Niky <kittymore83@gmail.com> (China Mobile)

Unos dodan 1. veljače 2021.

Parser za font

Dostupno za: macOS Big Sur 11.0.1

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem s otkrivanjem informacija riješen je poboljšanim upravljanjem stanjem.

CVE-2020-27946: Mateusz Jurczyk (Google Project Zero)

Parser za font

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Parser za font

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27952: anonimni istraživač, Mickey Jin i Junzhi Lu (Trend Micro)

Parser za font

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9956: Mickey Jin i Junzhi Lu (istraživački tim za mobilnu sigurnost, Trend Micro) i inicijativa Zero Day (Trend Micro)

Parser za font

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1

Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda

Opis: u obradi datoteka s fontovima postojao je problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27931: Apple

CVE-2020-27943: Mateusz Jurczyk (Google Project Zero)

CVE-2020-27944: Mateusz Jurczyk (Google Project Zero)

CVE-2020-29624: Mateusz Jurczyk (Google Project Zero)

Unos je ažuriran 22. prosinca 2020.

Parser za font

Dostupno za: macOS Big Sur 11.0.1

Učinak: udaljeni napadač može probiti memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-29608: Xingwei Lin (Ant Security Light-Year Lab)

Unos dodan 1. veljače 2021.

Osnove

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: lokalni korisnik mogao bi čitati arbitrarne datoteke

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-10002: James Hutchins

Upravljački programi za grafiku

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27947: ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro), Liu Long (Ant Security Light-Year Lab)

Unos je ažuriran 16. ožujka 2021.

Upravljački programi za grafiku

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-29612: ABC Research s.r.o. i inicijativa Zero Day (Trend Micro)

HomeKit

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: napadač s povlaštenim mrežnim ovlastima mogao bi neočekivano promijeniti stanje aplikacije

Opis: problem je riješen poboljšanom propagacijom postavki.

CVE-2020-9978: Luyi Xing, Dongfang Zhao i Xiaofeng Wang (Sveučilište Bloomington u Indijani), Yan Jia (Sveučilište Xidian i Sveučilište kineske akademije znanosti) i Bin Yuan (Sveučilište znanosti i tehnologije HuaZhong)

Ulaz i izlaz slika

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2020-27939: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2020-29625: XingWei Lin (Ant Security Light-Year Lab)

Unos je dodan 22. prosinca 2020., a ažuriran 1. veljače 2021.

Ulaz i izlaz slika

Dostupno za: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Učinak: obrada zlonamjerne slike može izazvati odbijanje usluge

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-29615: Xingwei Lin (Ant Security Light-Year Lab)

Unos dodan 1. veljače 2021.

Ulaz i izlaz slika

Dostupno za: macOS Big Sur 11.0.1

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-29616: zhouat i inicijativa Zero Day (Trend Micro)

Ulaz i izlaz slika

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27924: Lei Sun

CVE-2020-29618: Xingwei Lin (Ant Security Light-Year Lab)

Ulaz i izlaz slika

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-29611: Alexandru-Vlad Niculae i Google Project Zero

Unos je ažuriran 17. prosinca 2020.

Ulaz i izlaz slika

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Učinak: obrada zlonamjerno izrađene slike može dovesti do oštećenja hrpe

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-29617: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2020-29619: Xingwei Lin (Ant Security Light-Year Lab)

Ulaz i izlaz slika

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27912: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2020-27923: Lei Sun

Obrada slika

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27919: Hou JingYi (@hjy79425575) (Qihoo 360 CERT), Xingwei Lin (Ant Security Light-Year Lab)

Intelov grafički upravljački program

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-10015: ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2020-27897: Xiaolong Bai i Min (Spark) Zheng (Alibaba Inc.) te Luyi Xing (Sveučilište Bloomington u Indiani)

Intelov grafički upravljački program

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-27907: ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro), Liu Long (Ant Security Light-Year Lab)

Unos je ažuriran 16. ožujka 2021.

Kernel

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: zlonamjerna aplikacija mogla bi odrediti raspored elemenata kernelske memorije

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2020-10016: Alex Helie

Kernel

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Kernel

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9975: Tielei Wang (Pangu Lab)

Kernel

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2020-27921: Linus Henze (pinauten.de)

Kernel

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Učinak: zlonamjerna aplikacija mogla bi uzrokovati neočekivane promjene u memoriji koja pripada procesima koje prati DTrace

Opis: taj je problem riješen poboljšanim provjerama za sprječavanje neovlaštenih postupaka.

CVE-2020-27949: Steffen Klee (@_kleest) (TU Darmstadt, Secure Mobile Networking Lab)

Kernel

Dostupno za: macOS Big Sur 11.0.1

Učinak: zlonamjerna aplikacija mogla bi povećati ovlasti

Opis: problem je riješen poboljšanim pravima.

CVE-2020-29620: Csaba Fitzl (@theevilbit) (Offensive Security)

libxml2

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27911: otkrio OSS-Fuzz

libxml2

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-27920: otkrio OSS-Fuzz

libxml2

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-27926: otkrio OSS-Fuzz

libxpc

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: zlonamjerne aplikacije mogu izaći izvan memorije za testiranje

Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.

CVE-2020-10014: Zhipeng Huo (@R3dF09) (Tencentov sigurnosni odjel Xuanwu Lab)

Prijavljivanje

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2020-10010: Tommy Muir (@Muirey03)

Prozor za prijavu

Dostupno za: macOS Big Sur 11.0.1

Učinak: napadač s administratorskim mrežnim ovlastima mogao bi zaobići pravila o provjeri autentičnost

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2020-29633: Jewel Lambert (Original Spin, LLC.)

Unos dodan 1. veljače 2021.

Ulaz/izlaz za model

Dostupno za: macOS Big Sur 11.0.1

Učinak: obrada zlonamjerne datoteke mogla bi dovesti do oštećenja hrpe

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2020-29614: ZhiWei Sun(@5n1p3r0010) (Topsec Alpha Lab)

Unos dodan 1. veljače 2021.

Ulaz/izlaz za model

Dostupno za: macOS Catalina 10.15.7

Učinak: obrada zlonamjerne USD datoteke mogla bi dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-13520: Aleksandar Nikolic (Cisco Talos)

Unos dodan 1. veljače 2021.

Ulaz/izlaz za model

Dostupno za: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili proizvoljnog izvršavanja koda

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9972: Aleksandar Nikolic (Cisco Talos)

Unos dodan 1. veljače 2021.

Ulaz/izlaz za model

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: obrada zlonamjerne USD datoteke mogla bi dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-13524: Aleksandar Nikolic (Cisco Talos)

Ulaz/izlaz za model

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: otvaranjem zlonamjerno stvorene datoteke aplikacija bi se mogla neočekivano zatvoriti ili bi se mogao izvršiti proizvoljni kod

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-10004: Aleksandar Nikolic (Cisco Talos)

NSRemoteView

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: proces u memoriji za testiranje mogao je zaobići ograničenja memorije za testiranje

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2020-27901: Thijs Alkemade (Computest Research Division)

Upravljanje napajanjem

Dostupno za: macOS Big Sur 11.0.1

Učinak: zlonamjerna aplikacija mogla bi povećati ovlasti

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-27938: Tim Michaud (@TimGMichaud) (Leviathan)

Unos dodan 1. veljače 2021.

Upravljanje napajanjem

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: zlonamjerna aplikacija mogla bi odrediti raspored elemenata kernelske memorije

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-10007: singi@theori u suradnji s inicijativom Zero Day tvrtke (Trend Micro)

Brzi pregled

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: obradom zlonamjernog dokumenta moglo bi doći do napada unakrsnim skriptiranjem na više web-mjesta

Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.

CVE-2020-10012: Heige (KnownSec 404 Team (knownsec.com) i Bo Qu (Palo Alto Networks) (paloaltonetworks.com))

Ruby

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: udaljeni napadač može izmijeniti datotečni sustav

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2020-27896: anonimni istraživač

Postavke sustava

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-10009: Thijs Alkemade (Computest Research Division)

WebKit – pohrana

Dostupno za: macOS Big Sur 11.0.1

Učinak: korisnik možda neće u potpunosti moći izbrisati povijest pretraživanja

Opis: odabirom opcije „Očisti povijest i podatke web-mjesta” povijest se nije očistila. Problem je riješen poboljšanim brisanjem podataka.

CVE-2020-29623: Simon Hunt (OvalTwo LTD)

Unos dodan 1. veljače 2021.

WebRTC

Dostupno za: macOS Big Sur 11.0.1

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-15969: anonimni istraživač

Wi-Fi

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Učinak: napadač bi mogao zaobići zaštitu upravljanog okvira

Opis: problem s odbijanjem pružanja usluge riješen je poboljšanim rukovanjem stanjem.

CVE-2020-27898: Stephan Marais (Sveučilište u Johannesburgu)

 

Dodatna zahvala

CoreAudio

Željeli bismo zahvaliti JunDongu Xieju i Xingweiju Linu (Ant Security Light-Year Lab) na pomoći.

Unos dodan 16. ožujka 2021.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: