Mengenai konten keamanan macOS Catalina 10.15.6, Pembaruan Keamanan 2020-004 Mojave, Pembaruan Keamanan 2020-004 High Sierra

Dokumen ini menjelaskan konten keamanan macOS Catalina 10.15.6, Pembaruan Keamanan 2020-004 Mojave, Pembaruan Keamanan 2020-004 High Sierra.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

macOS Catalina 10.15.6, Pembaruan Keamanan 2020-004 Mojave, Pembaruan Keamanan 2020-004 High Sierra

Dirilis pada 15 Juli 2020

AMD

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2020-9927: Lilang Wu bekerja sama dengan Zero Day Initiative dari TrendMicro

Entri diperbarui pada 5 Agustus 2020

Audio

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9884: Yu Zhou(@yuzhou6666) dari 小鸡帮 bekerja sama dengan Zero Day Initiative dari Trend Micro

CVE-2020-9889: Anonim yang bekerja sama dengan Zero Day Initiative dari Trend Micro, JunDong Xie dan XingWei Lin dari Ant-Financial Light-Year Security Lab

Entri diperbarui pada 5 Agustus 2020

Audio

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9888: JunDong Xie dan XingWei Lin dari Ant-Financial Light-Year Security Lab

CVE-2020-9890: JunDong Xie dan XingWei Lin dari Ant-Financial Light-Year Security Lab

CVE-2020-9891: JunDong Xie dan XingWei Lin dari Ant-Financial Light-Year Security Lab

Entri diperbarui pada 5 Agustus 2020

Bluetooth

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9928: Yu Wang dari Didi Research America

Entri ditambahkan pada 5 Agustus 2020

Bluetooth

Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9929: Yu Wang dari Didi Research America

Entri ditambahkan pada 5 Agustus 2020

Clang

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Clang dapat membuat kode mesin yang tidak menerapkan kode autentikasi penunjuk dengan benar

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2020-9870: Samuel Groß dari Google Project Zero

CoreAudio

Tersedia untuk: macOS High Sierra 10.13.6

Dampak: Kelebihan buffer dapat menyebabkan eksekusi kode arbitrer

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9866: Yu Zhou dari 小鸡帮 dan Jundong Xie dari Ant-Financial Light-Year Security Lab

Core Bluetooth

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Penyerang jarak jauh dapat mengakibatkan penghapusan aplikasi secara tidak terduga

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9869: Patrick Wardle dari Jamf

Entri ditambahkan pada 5 Agustus 2020

CoreCapture

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2020-9949: Proteas

Entri ditambahkan pada 12 November 2020

CoreFoundation

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Pengguna lokal dapat melihat informasi rahasia pengguna

Deskripsi: Masalah muncul saat menangani variabel lingkungan. Masalah ini telah diatasi dengan validasi yang ditingkatkan.

CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)

Entri diperbarui pada 5 Agustus 2020

CoreGraphics

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9883: peneliti anonim, Mickey Jin dari Trend Micro

Entri ditambahkan pada 24 Juli 2020, diperbarui pada 12 November 2020

Crash Reporter

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Aplikasi berbahaya mungkin dapat keluar dari sandbox

Deskripsi: Masalah kerusakan memori telah diatasi dengan menghapus kode yang rentan.

CVE-2020-9865: Zhuo Liang dari Qihoo 360 Vulcan Team bekerja sama dengan 360 BugCloud

Crash Reporter

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka

Deskripsi: Masalah muncul di dalam logika validasi jalur untuk symlink. Masalah ini telah diatasi melalui pembersihan jalur yang ditingkatkan.

CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) dari Zero-dayits Team dari Legendsec di Qi'anxin Group

Entri ditambahkan pada 5 Agustus 2020, diperbarui pada 17 Desember 2021

FontParser

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9980: Xingwei Lin dari Ant Security Light-Year Lab

Entri ditambahkan pada 21 September 2020, diperbarui pada 19 Oktober 2020

Graphics Drivers

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9799: ABC Research s.r.o.

Entri diperbarui pada 24 Juli 2020

Heimdal

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan perlindungan data yang ditingkatkan.

CVE-2020-9913: Cody Thomas dari SpecterOps

ImageIO

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2020-27933: Xingwei Lin dari Ant-Financial Light-Year Security Lab

Entri ditambahkan pada 16 Maret 2021

ImageIO

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Beberapa masalah kelebihan buffer muncul di openEXR

Deskripsi: Beberapa masalah di openEXR telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2020-11758: Xingwei Lin dari Ant-Financial Light-Year Security Lab

CVE-2020-11759: Xingwei Lin dari Ant-Financial Light-Year Security Lab

CVE-2020-11760: Xingwei Lin dari Ant-Financial Light-Year Security Lab

CVE-2020-11761: Xingwei Lin dari Ant-Financial Light-Year Security Lab

CVE-2020-11762: Xingwei Lin dari Ant-Financial Light-Year Security Lab

CVE-2020-11763: Xingwei Lin dari Ant-Financial Light-Year Security Lab

CVE-2020-11764: Xingwei Lin dari Ant-Financial Light-Year Security Lab

CVE-2020-11765: Xingwei Lin dari Ant-Financial Light-Year Security Lab

Entri ditambahkan pada 8 September 2020

ImageIO

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9871: Xingwei Lin dari Ant-Financial Light-Year Security Lab

CVE-2020-9872: Xingwei Lin dari Ant-Financial Light-Year Security Lab

CVE-2020-9874: Xingwei Lin dari Ant-Financial Light-Year Security Lab

CVE-2020-9879: Xingwei Lin dari Ant-Financial Light-Year Security Lab

CVE-2020-9936: Mickey Jin dari Trend Micro

CVE-2020-9937: Xingwei Lin dari Ant-Financial Light-Year Security Lab

Entri diperbarui pada 5 Agustus 2020

ImageIO

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9919: Mickey Jin dari Trend Micro

Entri ditambahkan pada 24 Juli 2020

ImageIO

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Membuka file PDF berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9876: Mickey Jin dari Trend Micro

Entri ditambahkan pada 24 Juli 2020

ImageIO

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2020-9873: Xingwei Lin dari Ant-Financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin dari Ant-Financial Light-Year Security Lab

Entri ditambahkan pada 24 Juli 2020

ImageIO

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9877: Xingwei Lin dari Ant-Financial Light-Year Security Lab

Entri ditambahkan pada 5 Agustus 2020

ImageIO

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Penjelasan: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.

CVE-2020-9875: Mickey Jin dari Trend Micro

Entri ditambahkan pada 5 Agustus 2020

ImageIO

Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2020-9873: Xingwei Lin dari Ant-Financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin dari Ant-Financial Light-Year Security Lab

CVE-2020-9984: peneliti anonim

Entri ditambahkan pada 21 September 2020

Image Processing

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Menampilkan file JPEG perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2020-9887: Mickey Jin dari Trend Micro

Entri ditambahkan pada 8 September 2020

Intel Graphics Driver

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2020-9908: Junzhi Lu(@pwn0rz) yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 24 Juli 2020, diperbarui pada 31 Agustus 2020

Intel Graphics Driver

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.

CVE-2020-9990: ABC Research s.r.l. yang bekerja sama dengan Zero Day Initiative dari Trend Micro, ABC Research s.r.o. yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 21 September 2020

Intel Graphics Driver

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9921: ABC Research s.r.o. yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 5 Agustus 2020

Kernel

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat masuk ke koneksi aktif dalam saluran VPN

Deskripsi: Masalah perutean telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2019-14899: William J. Tolley, Beau Kujath, dan Jedidiah R. Crandall

Kernel

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2020-9904: Tielei Wang dari Pangu Lab

Entri ditambahkan pada 24 Juli 2020

Kernel

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2020-9924: Matt DeVore dari Google

Entri ditambahkan pada 24 Juli 2020

Kernel

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2020-9892: Andy Nguyen dari Google

Entri ditambahkan pada 24 Juli 2020

Kernel

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9863: Xinru Chi dari Pangu Lab

Entri diperbarui pada 5 Agustus 2020

Kernel

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9902: Xinru Chi dan Tielei Wang dari Pangu Lab

Entri ditambahkan pada 5 Agustus 2020

Kernel

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9905: Raz Mashat (@RazMashat) dari ZecOps

Entri ditambahkan pada 5 Agustus 2020

Kernel

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Aplikasi berbahaya mungkin dapat mengungkap memori yang dibatasi

Deskripsi: Masalah pengungkapan informasi telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2020-9997: Catalin Valeriu Lita dari SecurityScorecard

Entri ditambahkan pada 21 September 2020

libxml2

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Memproses XML perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2020-9926: Ditemukan oleh OSS-Fuzz

Entri ditambahkan pada 16 Maret 2021

libxpc

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Aplikasi berbahaya dapat menimpa file arbitrer

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2020-9994: Apple

Entri ditambahkan pada 21 September 2020

Login Window

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Pengguna mungkin tiba-tiba masuk ke akun pengguna lain

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2020-9935: peneliti anonim

Entri ditambahkan pada 21 September 2020

Mail

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2019-19906

Entri ditambahkan pada 24 Juli 2020, diperbarui pada 8 September 2020

Mail

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Server email berbahaya dapat menimpa file email arbitrer

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2020-9920: YongYue Wang AKA BigChan dari Hillstone Networks AF Team

Entri ditambahkan pada 24 Juli 2020

Mail

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Pemrosesan email perusak yang berbahaya dapat mengakibatkan penulisan file arbitrer

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2020-9922: Mikko Kenttälä (@Turmio_) dari SensorFu

Entri ditambahkan pada 12 November 2020

Messages

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Pengguna yang dikeluarkan dari grup iMessage dapat bergabung kembali ke dalam grup

Deskripsi: Masalah muncul saat menangani tapback iMessage. Masalah telah diselesaikan dengan verifikasi tambahan.

CVE-2020-9885: peneliti anonim, Suryansh Mansharamani, dari WWP High School North (medium.com/@suryanshmansha)

Model I/O

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Memproses file USD perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9878: Holger Fuhrmannek dari Deutsche Telekom Security

Model I/O

Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Dampak: Memproses file USD perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9880: Holger Fuhrmannek dari Deutsche Telekom Security

Entri ditambahkan pada 24 Juli 2020, diperbarui pada 21 September 2020

Model I/O

Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Dampak: Memproses file USD perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9878: Aleksandar Nikolic dari Cisco Talos, Holger Fuhrmannek dari Deutsche Telekom Security

CVE-2020-9881: Holger Fuhrmannek dari Deutsche Telekom Security

CVE-2020-9882: Holger Fuhrmannek dari Deutsche Telekom Security

CVE-2020-9940: Holger Fuhrmannek dari Deutsche Telekom Security

CVE-2020-9985: Holger Fuhrmannek dari Deutsche Telekom Security

Entri ditambahkan pada 24 Juli 2020, diperbarui pada 21 September 2020

OpenLDAP

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2020-12243

Entri ditambahkan pada 21 September 2020

Perl

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Kelebihan bilangan bulat di pengompilasi ekspresi reguler Perl dapat memungkinkan penyerang jarak jauh memasukkan petunjuk ke bentuk ekspresi biasa yang dikompilasi

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2020-10878: Hugo van der Sanden dan Slaven Rezic

Entri ditambahkan pada 16 Maret 2021

Perl

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2020-12723: Sergey Aleynikov

Entri ditambahkan pada 16 Maret 2021

rsync

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Penyerang jarak jauh mungkin dapat menimpa file yang ada

Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.

CVE-2014-9512: gaojianfeng

Entri ditambahkan pada 24 Juli 2020

Sandbox

Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2020-9930: Zhiyi Zhang dari Codesafe Team dari Legendsec di Qi'anxin Group

Entri ditambahkan pada 15 Desember 2020

Sandbox

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Pengguna lokal dapat memuat ekstensi kernel yang tidak ditandatangani

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2020-9939: @jinmo123, @setuid0x0_, dan @insu_yun_en dari @SSLab_Gatech yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 5 Agustus 2020

Security

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2020-9864: Alexander Holodny

Security

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Seorang penyerang mungkin dapat menyamar sebagai situs web tepercaya menggunakan materi kunci bersama untuk sertifikat yang ditambahkan administrator

Deskripsi: Masalah validasi sertifikat muncul saat memproses sertifikat yang ditambahkan administrator. Masalah ini telah diatasi dengan validasi sertifikat yang ditingkatkan.

CVE-2020-9868: Brian Wolff dari Asana

Entri ditambahkan pada 24 Juli 2020

Security

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2020-9854: Ilias Morad (A2nkF)

Entri ditambahkan pada 24 Juli 2020

sysdiagnose

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka

Deskripsi: Masalah muncul di dalam logika validasi jalur untuk symlink. Masalah ini telah diatasi melalui pembersihan jalur yang ditingkatkan.

CVE-2020-9901: Tim Michaud (@TimGMichaud) dari Leviathan, Zhongcheng Li (CK01) dari Zero-dayits Team dari Legendsec di Qi'anxin Group

Entri ditambahkan pada 5 Agustus 2020, diperbarui pada 31 Agustus 2020

Vim

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2019-20807: Guilherme de Almeida Suckevicz

WebDAV

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox

Deskripsi: Masalah ini telah diatasi dengan penetapan hak yang ditingkatkan.

CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)

Entri ditambahkan pada 8 September 2020

Wi-Fi

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2020-9918: Jianjun Dai dari 360 Alpha Lab bekerja sama dengan 360 BugCloud (bugcloud.360.cn)

Wi-Fi

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2020-9899: Yu Wang dari Didi Research America

Entri ditambahkan pada 24 Juli 2020

Wi-Fi

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2020-9906: Ian Beer dari Google Project Zero

Entri ditambahkan pada 24 Juli 2020

Penghargaan tambahan

CoreFoundation

Kami ingin mengucapkan terima kasih kepada Bobby Pelletier atas bantuannya.

Entri ditambahkan pada 8 September 2020

ImageIO

Kami ingin mengucapkan terima kasih kepada Xingwei Lin dari Ant-Financial Light-Year Security Lab atas bantuannya.

Entri ditambahkan pada 21 September 2020

Siri

Kami ingin mengucapkan terima kasih kepada Yuval Ron, Amichai Shulman, dan Eli Biham dari Technion - Israel Institute of Technology atas bantuannya.

Entri ditambahkan pada 5 Agustus 2020

Audio USB

Kami ingin mengucapkan terima kasih kepada Andy Davis dari NCC Group atas bantuannya.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: