Mengenai konten keamanan macOS Catalina 10.15.4, Pembaruan Keamanan 2020-002 Mojave, Pembaruan Keamanan 2020-002 High Sierra
Dokumen ini menjelaskan konten keamanan macOS Catalina 10.15.4, Pembaruan Keamanan 2020-002 Mojave, Pembaruan Keamanan 2020-002 High Sierra.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
macOS Catalina 10.15.4, Pembaruan Keamanan 2020-002 Mojave, Pembaruan Keamanan 2020-002 High Sierra
Akun
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2020-9772: Allison Husain dari UC Berkeley
Dukungan HSSPI Apple
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-3903: Proteas dari Qihoo 360 Nirvan Team
AppleGraphicsControl
Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2020-3904: Proteas dari Qihoo 360 Nirvan Team
AppleMobileFileIntegrity
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Aplikasi dapat menggunakan hak arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2020-3883: Linus Henze (pinauten.de)
Bluetooth
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Penyerang dalam posisi jaringan yang memiliki hak istimewa mungkin dapat mencegat lalu lintas Bluetooth
Deskripsi: Masalah muncul terkait penggunaan PRNG dengan entropi rendah. Masalah ini telah diatasi dengan pengelolaan kondisi yang lebih baik.
CVE-2020-6616: Jörn Tillmanns (@matedealer) dan Jiska Classen (@naehrdine) dari Secure Mobile Networking Lab
Bluetooth
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
CVE-2020-9853: Yu Wang dari Didi Research America
Bluetooth
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-3907: Yu Wang dari Didi Research America
CVE-2020-3908: Yu Wang dari Didi Research America
CVE-2020-3912: Yu Wang dari Didi Research America
CVE-2020-9779: Yu Wang dari Didi Research America
Bluetooth
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-3892: Yu Wang dari Didi Research America
CVE-2020-3893: Yu Wang dari Didi Research America
CVE-2020-3905: Yu Wang dari Didi Research America
Bluetooth
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2019-8853: Jianjun Dai dari Qihoo 360 Alpha Lab
Riwayat Panggilan
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Aplikasi berbahaya mungkin dapat mengakses riwayat panggilan pengguna
Deskripsi: Masalah ini telah diatasi dengan penetapan hak baru.
CVE-2020-9776: Benjamin Randazzo (@____benjamin)
CoreBluetooth
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Penyerang jarak jauh dapat membocorkan informasi rahasia pengguna
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-9828: Jianjun Dai dari Qihoo 360 Alpha Lab
CoreFoundation
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa
Deskripsi: Masalah izin muncul. Masalah ini telah diatasi dengan validasi izin yang ditingkatkan.
CVE-2020-3913: Timo Christ dari Avira Operations GmbH & Co. KG
CoreText
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Memproses pesan teks perusak berbahaya dapat mengakibatkan penolakan layanan aplikasi
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2020-9829: Aaron Perris (@aaronp613), peneliti anonim, peneliti anonim, Carlos S Tech, Sam Menzies dari Sam’s Lounge, Sufiyan Gouri dari Lovely Professional University, India, Suleman Hasan Rathor dari Arabic-Classroom.com
CUPS
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
CVE-2020-3898: Stephan Zeisberg (github.com/stze) dari Security Research Labs (srlabs.de)
FaceTime
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Pengguna lokal dapat melihat informasi rahasia pengguna
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2020-3881: Yuval Ron, Amichai Shulman dan Eli Biham dari Technion - Israel Institute of Technology
Driver Intel Graphics
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2020-3886: Proteas
Driver Intel Graphics
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Aplikasi berbahaya mungkin dapat mengungkap memori yang dibatasi
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2019-14615: Wenjian HE dari Hong Kong University of Science and Technology, Wei Zhang dari Hong Kong University of Science and Technology, Sharad Sinha dari Indian Institute of Technology Goa, dan Sanjeev Das dari University of North Carolina
IOHIDFamily
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-3919: Alex Plaskett dari F-Secure Consulting
IOThunderboltFamily
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2020-3851: Xiaolong Bai dan Min (Spark) Zheng dari Alibaba Inc. dan Luyi Xing dari Indiana University Bloomington
iTunes
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Aplikasi berbahaya dapat menimpa file arbitrer
Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.
CVE-2020-3896: Christoph Falta
Kernel
Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-3914: pattern-f (@pattern_F_) dari WaCai
Kernel
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2020-9785: Proteas dari Qihoo 360 Nirvan Team
libxml2
Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Dampak: Beberapa masalah di libxml2
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-3909: LGTM.com
CVE-2020-3911: ditemukan oleh OSS-Fuzz
libxml2
Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Dampak: Beberapa masalah di libxml2
Deskripsi: Kelebihan buffer telah diatasi dengan meningkatkan validasi ukuran.
CVE-2020-3910: LGTM.com
Tersedia untuk: macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode javascript
Deskripsi: Masalah injeksi telah diatasi dengan validasi yang ditingkatkan.
CVE-2020-3884: Apple
Pencetakan
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Dampak: Aplikasi berbahaya dapat menimpa file arbitrer
Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.
CVE-2020-3915: Peneliti anonim yang bekerja sama dengan iDefense Labs (https://vcp.idefense.com/), HyungSeok Han (DaramG) @Theori yang bekerja sama dengan Zero Day Initiative dari TrendMicro
Safari
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Aktivitas penelusuran pribadi pengguna dapat disimpan secara tiba-tiba di Durasi Layar
Deskripsi: Masalah muncul saat menangani tab yang menampilkan video gambar dalam gambar. Masalah ini telah diperbaiki dengan penanganan status yang ditingkatkan.
CVE-2020-9775: Andrian (@retroplasma), Marat Turaev, Marek Wawro (futurefinance.com), dan Sambor Wawro dari STO64 School Krakow Polandia
Sandbox
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Pengguna mungkin dapat mengakses bagian yang dilindungi dari sistem file
Deskripsi: Masalah ini telah diatasi dengan penetapan hak baru.
CVE-2020-9771: Csaba Fitzl (@theevilbit) dari Offensive Security
Sandbox
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Pengguna lokal dapat melihat informasi rahasia pengguna
Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan.
CVE-2020-3918: peneliti anonim, Augusto Alvarez dari Outcourse Limited
sudo
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Penyerang dapat menjalankan perintah sebagai pengguna yang belum ada
Deskripsi: Masalah ini telah diatasi dengan memperbarui ke sudo versi 1.8.31.
CVE-2019-19232
sysdiagnose
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dampak: Aplikasi mungkin dapat memicu sysdiagnose
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan
CVE-2020-9786: Dayton Pidhirney (@_watbulb) dari Seekintoo (@seekintoo)
TCC
Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.3
Dampak: Aplikasi perusak yang berbahaya mungkin dapat melewati penerapan melewati penandatanganan kode
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2020-3906: Patrick Wardle dari Jamf
Time Machine
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Pengguna lokal mungkin dapat membaca file arbitrer
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2020-3889: Lasse Trolle Borup dari Danish Cyber Defence
Vim
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Beberapa masalah di Vim
Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 8.1.1850.
CVE-2020-9769: Steve Hahn dari LinkedIn
WebKit
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Situs web tertentu mungkin tidak muncul di Preferensi Safari
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2020-9787: Ryan Pickren (ryanpickren.com)
WebKit
Tersedia untuk: macOS Catalina 10.15.3
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan serangan skripting lintas situs
Deskripsi: Masalah validasi input telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)
Penghargaan tambahan
CoreText
Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.
FireWire Audio
Kami ucapkan terima kasih kepada Xiaolong Bai dan Mn (Spark) Zheng dari Alibaba Inc. serta Luyi Xing dari Indiana University Bloomington atas bantuannya.
FontParser
Kami ucapkan terima kasih kepada Matthew Denton dari Google Chrome atas bantuannya.
Installer
Kami ucapkan terima kasih kepada Pris Sears dari Virginia Tech, Tom Lynch dari UAL Creative Computing Institute, peneliti anonim, dan peneliti anonim atas bantuannya.
Install Framework Legacy
Kami ucapkan terima kasih kepada Pris Sears dari Virginia Tech, Tom Lynch dari UAL Creative Computing Institute, dan peneliti anonim atas bantuannya.
LinkPresentation
Kami ucapkan terima kasih kepada Travis atas bantuannya.
OpenSSH
Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.
rapportd
Kami ucapkan terima kasih kepada Alexander Heinrich (@Sn0wfreeze) dari Technische Universität Darmstadt atas bantuannya.
Sidecar
Kami ucapkan terima kasih kepada Rick Backley (@rback_sec) atas bantuannya.
sudo
Kami ucapkan terima kasih kepada Giorgio Oppo (linkedin.com/in/giorgio-oppo/) atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.