Mengenai konten keamanan macOS Catalina 10.15.4, Pembaruan Keamanan 2020-002 Mojave, Pembaruan Keamanan 2020-002 High Sierra

Dokumen ini menjelaskan konten keamanan macOS Catalina 10.15.4, Pembaruan Keamanan 2020-002 Mojave, Pembaruan Keamanan 2020-002 High Sierra.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

macOS Catalina 10.15.4, Pembaruan Keamanan 2020-002 Mojave, Pembaruan Keamanan 2020-002 High Sierra

Dirilis pada 24 Maret 2020

Akun

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2020-9772: Allison Husain dari UC Berkeley

Entri ditambahkan pada 21 Mei 2020

Dukungan HSSPI Apple

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-3903: Proteas dari Qihoo 360 Nirvan Team

Entri diperbarui pada 1 Mei 2020

AppleGraphicsControl

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2020-3904: Proteas dari Qihoo 360 Nirvan Team

AppleMobileFileIntegrity

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Aplikasi dapat menggunakan hak arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2020-3883: Linus Henze (pinauten.de)

Bluetooth

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Penyerang dalam posisi jaringan yang memiliki hak istimewa mungkin dapat mencegat lalu lintas Bluetooth

Deskripsi: Masalah muncul terkait penggunaan PRNG dengan entropi rendah. Masalah ini telah diatasi dengan pengelolaan kondisi yang lebih baik.

CVE-2020-6616: Jörn Tillmanns (@matedealer) dan Jiska Classen (@naehrdine) dari Secure Mobile Networking Lab

Entri ditambahkan pada 21 Mei 2020

Bluetooth

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.

CVE-2020-9853: Yu Wang dari Didi Research America

Entri ditambahkan pada 21 Mei 2020

Bluetooth

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2020-3907: Yu Wang dari Didi Research America

CVE-2020-3908: Yu Wang dari Didi Research America

CVE-2020-3912: Yu Wang dari Didi Research America

CVE-2020-9779: Yu Wang dari Didi Research America

Entri diperbarui pada 21 September 2020

Bluetooth

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2020-3892: Yu Wang dari Didi Research America

CVE-2020-3893: Yu Wang dari Didi Research America

CVE-2020-3905: Yu Wang dari Didi Research America

Bluetooth

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2019-8853: Jianjun Dai dari Qihoo 360 Alpha Lab

Riwayat Panggilan

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Aplikasi berbahaya mungkin dapat mengakses riwayat panggilan pengguna

Deskripsi: Masalah ini telah diatasi dengan penetapan hak baru.

CVE-2020-9776: Benjamin Randazzo (@____benjamin)

CoreBluetooth

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Penyerang jarak jauh dapat membocorkan informasi rahasia pengguna

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2020-9828: Jianjun Dai dari Qihoo 360 Alpha Lab

Entri ditambahkan pada 13 Mei 2020

CoreFoundation

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah izin muncul. Masalah ini telah diatasi dengan validasi izin yang ditingkatkan.

CVE-2020-3913: Timo Christ dari Avira Operations GmbH & Co. KG

CoreText

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Memproses pesan teks perusak berbahaya dapat mengakibatkan penolakan layanan aplikasi

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2020-9829: Aaron Perris (@aaronp613), peneliti anonim, peneliti anonim, Carlos S Tech, Sam Menzies dari Sam’s Lounge, Sufiyan Gouri dari Lovely Professional University, India, Suleman Hasan Rathor dari Arabic-Classroom.com

Entri ditambahkan pada 21 Mei 2020

CUPS

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.

CVE-2020-3898: Stephan Zeisberg (github.com/stze) dari Security Research Labs (srlabs.de)

Entri ditambahkan pada 8 April 2020

FaceTime

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Pengguna lokal dapat melihat informasi rahasia pengguna

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2020-3881: Yuval Ron, Amichai Shulman dan Eli Biham dari Technion - Israel Institute of Technology

Driver Intel Graphics

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2020-3886: Proteas

Entri ditambahkan pada 16 Maret 2021

Driver Intel Graphics

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Aplikasi berbahaya mungkin dapat mengungkap memori yang dibatasi

Deskripsi: Masalah pengungkapan informasi telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2019-14615: Wenjian HE dari Hong Kong University of Science and Technology, Wei Zhang dari Hong Kong University of Science and Technology, Sharad Sinha dari Indian Institute of Technology Goa, dan Sanjeev Das dari University of North Carolina

IOHIDFamily

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-3919: Alex Plaskett dari F-Secure Consulting

Entri diperbarui pada 21 Mei 2020

IOThunderboltFamily

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2020-3851: Xiaolong Bai dan Min (Spark) Zheng dari Alibaba Inc. dan Luyi Xing dari Indiana University Bloomington

iTunes

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Aplikasi berbahaya dapat menimpa file arbitrer

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2020-3896: Christoph Falta

Entri ditambahkan pada 16 Maret 2021

Kernel

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi

Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-3914: pattern-f (@pattern_F_) dari WaCai

Kernel

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2020-9785: Proteas dari Qihoo 360 Nirvan Team

libxml2

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Dampak: Beberapa masalah di libxml2

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-3909: LGTM.com

CVE-2020-3911: ditemukan oleh OSS-Fuzz

libxml2

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Dampak: Beberapa masalah di libxml2

Deskripsi: Kelebihan buffer telah diatasi dengan meningkatkan validasi ukuran.

CVE-2020-3910: LGTM.com

Mail

Tersedia untuk: macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode javascript

Deskripsi: Masalah injeksi telah diatasi dengan validasi yang ditingkatkan.

CVE-2020-3884: Apple

Pencetakan

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Dampak: Aplikasi berbahaya dapat menimpa file arbitrer

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2020-3915: Peneliti anonim yang bekerja sama dengan iDefense Labs (https://vcp.idefense.com/), HyungSeok Han (DaramG) @Theori yang bekerja sama dengan Zero Day Initiative dari TrendMicro

Entri ditambahkan pada 1 Mei 2020

Safari

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Aktivitas penelusuran pribadi pengguna dapat disimpan secara tiba-tiba di Durasi Layar

Deskripsi: Masalah muncul saat menangani tab yang menampilkan video gambar dalam gambar. Masalah ini telah diperbaiki dengan penanganan status yang ditingkatkan.

CVE-2020-9775: Andrian (@retroplasma), Marat Turaev, Marek Wawro (futurefinance.com), dan Sambor Wawro dari STO64 School Krakow Polandia

Entri ditambahkan pada 13 Mei 2020

Sandbox

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Pengguna mungkin dapat mengakses bagian yang dilindungi dari sistem file

Deskripsi: Masalah ini telah diatasi dengan penetapan hak baru.

CVE-2020-9771: Csaba Fitzl (@theevilbit) dari Offensive Security

Entri ditambahkan pada 21 Mei 2020

Sandbox

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Pengguna lokal dapat melihat informasi rahasia pengguna

Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan.

CVE-2020-3918: peneliti anonim, Augusto Alvarez dari Outcourse Limited

Entri ditambahkan pada 8 April 2020, diperbarui pada 21 Mei 2020

sudo

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Penyerang dapat menjalankan perintah sebagai pengguna yang belum ada

Deskripsi: Masalah ini telah diatasi dengan memperbarui ke sudo versi 1.8.31.

CVE-2019-19232

sysdiagnose

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Aplikasi mungkin dapat memicu sysdiagnose

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan

CVE-2020-9786: Dayton Pidhirney (@_watbulb) dari Seekintoo (@seekintoo)

Entri ditambahkan pada 4 April 2020

TCC

Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.3

Dampak: Aplikasi perusak yang berbahaya mungkin dapat melewati penerapan melewati penandatanganan kode

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2020-3906: Patrick Wardle dari Jamf

Time Machine

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Pengguna lokal mungkin dapat membaca file arbitrer

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2020-3889: Lasse Trolle Borup dari Danish Cyber Defence

Vim

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Beberapa masalah di Vim

Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 8.1.1850.

CVE-2020-9769: Steve Hahn dari LinkedIn

WebKit

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Situs web tertentu mungkin tidak muncul di Preferensi Safari

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2020-9787: Ryan Pickren (ryanpickren.com)

Entri ditambahkan pada 8 April 2020

WebKit

Tersedia untuk: macOS Catalina 10.15.3

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan serangan skripting lintas situs

Deskripsi: Masalah validasi input telah diatasi dengan validasi input yang ditingkatkan.

CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)

Entri ditambahkan pada 28 Juli 2020

Penghargaan tambahan

CoreText

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

FireWire Audio

Kami ucapkan terima kasih kepada Xiaolong Bai dan Mn (Spark) Zheng dari Alibaba Inc. serta Luyi Xing dari Indiana University Bloomington atas bantuannya.

FontParser

Kami ucapkan terima kasih kepada Matthew Denton dari Google Chrome atas bantuannya.

Installer

Kami ucapkan terima kasih kepada Pris Sears dari Virginia Tech, Tom Lynch dari UAL Creative Computing Institute, peneliti anonim, dan peneliti anonim atas bantuannya.

Entri ditambahkan pada 15 Desember 2020

Install Framework Legacy

Kami ucapkan terima kasih kepada Pris Sears dari Virginia Tech, Tom Lynch dari UAL Creative Computing Institute, dan peneliti anonim atas bantuannya.

LinkPresentation

Kami ucapkan terima kasih kepada Travis atas bantuannya.

OpenSSH

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

rapportd

Kami ucapkan terima kasih kepada Alexander Heinrich (@Sn0wfreeze) dari Technische Universität Darmstadt atas bantuannya.

Sidecar

Kami ucapkan terima kasih kepada Rick Backley (@rback_sec) atas bantuannya.

sudo

Kami ucapkan terima kasih kepada Giorgio Oppo (linkedin.com/in/giorgio-oppo/) atas bantuannya.

Entri ditambahkan pada 4 April 2020

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: