Mengenai konten keamanan macOS Catalina 10.15.6, Pembaruan Keamanan 2020-004 Mojave, Pembaruan Keamanan 2020-004 High Sierra
Dokumen ini menjelaskan konten keamanan macOS Catalina 10.15.6, Pembaruan Keamanan 2020-004 Mojave, Pembaruan Keamanan 2020-004 High Sierra.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
macOS Catalina 10.15.6, Pembaruan Keamanan 2020-004 Mojave, Pembaruan Keamanan 2020-004 High Sierra
AMD
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-9927: Lilang Wu bekerja sama dengan Zero Day Initiative dari TrendMicro
Audio
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9884: Yu Zhou(@yuzhou6666) dari 小鸡帮 bekerja sama dengan Zero Day Initiative dari Trend Micro
CVE-2020-9889: Anonim yang bekerja sama dengan Zero Day Initiative dari Trend Micro, JunDong Xie dan XingWei Lin dari Ant-Financial Light-Year Security Lab
Audio
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9888: JunDong Xie dan XingWei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9890: JunDong Xie dan XingWei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9891: JunDong Xie dan XingWei Lin dari Ant-Financial Light-Year Security Lab
Bluetooth
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9928: Yu Wang dari Didi Research America
Bluetooth
Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9929: Yu Wang dari Didi Research America
Clang
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Clang dapat membuat kode mesin yang tidak menerapkan kode autentikasi penunjuk dengan benar
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2020-9870: Samuel Groß dari Google Project Zero
CoreAudio
Tersedia untuk: macOS High Sierra 10.13.6
Dampak: Kelebihan buffer dapat menyebabkan eksekusi kode arbitrer
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9866: Yu Zhou dari 小鸡帮 dan Jundong Xie dari Ant-Financial Light-Year Security Lab
Core Bluetooth
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang jarak jauh dapat mengakibatkan penghapusan aplikasi secara tidak terduga
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9869: Patrick Wardle dari Jamf
CoreCapture
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2020-9949: Proteas
CoreFoundation
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Pengguna lokal dapat melihat informasi rahasia pengguna
Deskripsi: Masalah muncul saat menangani variabel lingkungan. Masalah ini telah diatasi dengan validasi yang ditingkatkan.
CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)
CoreGraphics
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9883: peneliti anonim, Mickey Jin dari Trend Micro
Crash Reporter
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Aplikasi berbahaya mungkin dapat keluar dari sandbox
Deskripsi: Masalah kerusakan memori telah diatasi dengan menghapus kode yang rentan.
CVE-2020-9865: Zhuo Liang dari Qihoo 360 Vulcan Team bekerja sama dengan 360 BugCloud
Crash Reporter
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka
Deskripsi: Masalah muncul di dalam logika validasi jalur untuk symlink. Masalah ini telah diatasi melalui pembersihan jalur yang ditingkatkan.
CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) dari Zero-dayits Team dari Legendsec di Qi'anxin Group
FontParser
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9980: Xingwei Lin dari Ant Security Light-Year Lab
Graphics Drivers
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9799: ABC Research s.r.o.
Heimdal
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan perlindungan data yang ditingkatkan.
CVE-2020-9913: Cody Thomas dari SpecterOps
ImageIO
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-27933: Xingwei Lin dari Ant-Financial Light-Year Security Lab
ImageIO
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Beberapa masalah kelebihan buffer muncul di openEXR
Deskripsi: Beberapa masalah di openEXR telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2020-11758: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-11759: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-11760: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-11761: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-11762: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-11763: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-11764: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-11765: Xingwei Lin dari Ant-Financial Light-Year Security Lab
ImageIO
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9871: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9872: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9874: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9879: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9936: Mickey Jin dari Trend Micro
CVE-2020-9937: Xingwei Lin dari Ant-Financial Light-Year Security Lab
ImageIO
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9919: Mickey Jin dari Trend Micro
ImageIO
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Membuka file PDF berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9876: Mickey Jin dari Trend Micro
ImageIO
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-9873: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin dari Ant-Financial Light-Year Security Lab
ImageIO
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9877: Xingwei Lin dari Ant-Financial Light-Year Security Lab
ImageIO
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.
CVE-2020-9875: Mickey Jin dari Trend Micro
ImageIO
Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-9873: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9984: peneliti anonim
Image Processing
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Menampilkan file JPEG perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-9887: Mickey Jin dari Trend Micro
Intel Graphics Driver
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-9908: Junzhi Lu(@pwn0rz) yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Intel Graphics Driver
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.
CVE-2020-9990: ABC Research s.r.l. yang bekerja sama dengan Zero Day Initiative dari Trend Micro, ABC Research s.r.o. yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Intel Graphics Driver
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9921: ABC Research s.r.o. yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Kernel
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat masuk ke koneksi aktif dalam saluran VPN
Deskripsi: Masalah perutean telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2019-14899: William J. Tolley, Beau Kujath, dan Jedidiah R. Crandall
Kernel
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2020-9904: Tielei Wang dari Pangu Lab
Kernel
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2020-9924: Matt DeVore dari Google
Kernel
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2020-9892: Andy Nguyen dari Google
Kernel
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9863: Xinru Chi dari Pangu Lab
Kernel
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9902: Xinru Chi dan Tielei Wang dari Pangu Lab
Kernel
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9905: Raz Mashat (@RazMashat) dari ZecOps
Kernel
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Aplikasi berbahaya mungkin dapat mengungkap memori yang dibatasi
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2020-9997: Catalin Valeriu Lita dari SecurityScorecard
libxml2
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses XML perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2020-9926: Ditemukan oleh OSS-Fuzz
libxpc
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dampak: Aplikasi berbahaya dapat menimpa file arbitrer
Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.
CVE-2020-9994: Apple
Login Window
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Pengguna mungkin tiba-tiba masuk ke akun pengguna lain
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2020-9935: peneliti anonim
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2019-19906
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Server email berbahaya dapat menimpa file email arbitrer
Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.
CVE-2020-9920: YongYue Wang AKA BigChan dari Hillstone Networks AF Team
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Pemrosesan email perusak yang berbahaya dapat mengakibatkan penulisan file arbitrer
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2020-9922: Mikko Kenttälä (@Turmio_) dari SensorFu
Messages
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Pengguna yang dikeluarkan dari grup iMessage dapat bergabung kembali ke dalam grup
Deskripsi: Masalah muncul saat menangani tapback iMessage. Masalah telah diselesaikan dengan verifikasi tambahan.
CVE-2020-9885: peneliti anonim, Suryansh Mansharamani, dari WWP High School North (medium.com/@suryanshmansha)
Model I/O
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses file USD perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9878: Holger Fuhrmannek dari Deutsche Telekom Security
Model I/O
Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Dampak: Memproses file USD perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9880: Holger Fuhrmannek dari Deutsche Telekom Security
Model I/O
Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Dampak: Memproses file USD perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9878: Aleksandar Nikolic dari Cisco Talos, Holger Fuhrmannek dari Deutsche Telekom Security
CVE-2020-9881: Holger Fuhrmannek dari Deutsche Telekom Security
CVE-2020-9882: Holger Fuhrmannek dari Deutsche Telekom Security
CVE-2020-9940: Holger Fuhrmannek dari Deutsche Telekom Security
CVE-2020-9985: Holger Fuhrmannek dari Deutsche Telekom Security
OpenLDAP
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2020-12243
Perl
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Kelebihan bilangan bulat di pengompilasi ekspresi reguler Perl dapat memungkinkan penyerang jarak jauh memasukkan petunjuk ke bentuk ekspresi biasa yang dikompilasi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2020-10878: Hugo van der Sanden dan Slaven Rezic
Perl
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2020-12723: Sergey Aleynikov
rsync
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dampak: Penyerang jarak jauh mungkin dapat menimpa file yang ada
Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.
CVE-2014-9512: gaojianfeng
Sandbox
Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-9930: Zhiyi Zhang dari Codesafe Team dari Legendsec di Qi'anxin Group
Sandbox
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Pengguna lokal dapat memuat ekstensi kernel yang tidak ditandatangani
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2020-9939: @jinmo123, @setuid0x0_, dan @insu_yun_en dari @SSLab_Gatech yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Security
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2020-9864: Alexander Holodny
Security
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Seorang penyerang mungkin dapat menyamar sebagai situs web tepercaya menggunakan materi kunci bersama untuk sertifikat yang ditambahkan administrator
Deskripsi: Masalah validasi sertifikat muncul saat memproses sertifikat yang ditambahkan administrator. Masalah ini telah diatasi dengan validasi sertifikat yang ditingkatkan.
CVE-2020-9868: Brian Wolff dari Asana
Security
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2020-9854: Ilias Morad (A2nkF)
sysdiagnose
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka
Deskripsi: Masalah muncul di dalam logika validasi jalur untuk symlink. Masalah ini telah diatasi melalui pembersihan jalur yang ditingkatkan.
CVE-2020-9901: Tim Michaud (@TimGMichaud) dari Leviathan, Zhongcheng Li (CK01) dari Zero-dayits Team dari Legendsec di Qi'anxin Group
Vim
Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2019-20807: Guilherme de Almeida Suckevicz
WebDAV
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox
Deskripsi: Masalah ini telah diatasi dengan penetapan hak yang ditingkatkan.
CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)
Wi-Fi
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-9918: Jianjun Dai dari 360 Alpha Lab bekerja sama dengan 360 BugCloud (bugcloud.360.cn)
Wi-Fi
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-9899: Yu Wang dari Didi Research America
Wi-Fi
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-9906: Ian Beer dari Google Project Zero
Penghargaan tambahan
CoreFoundation
Kami ingin mengucapkan terima kasih kepada Bobby Pelletier atas bantuannya.
ImageIO
Kami ingin mengucapkan terima kasih kepada Xingwei Lin dari Ant-Financial Light-Year Security Lab atas bantuannya.
Siri
Kami ingin mengucapkan terima kasih kepada Yuval Ron, Amichai Shulman, dan Eli Biham dari Technion - Israel Institute of Technology atas bantuannya.
Audio USB
Kami ingin mengucapkan terima kasih kepada Andy Davis dari NCC Group atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.