Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
macOS Catalina 10.15.6, Pembaruan Keamanan 2020-004 Mojave, Pembaruan Keamanan 2020-004 High Sierra
Dirilis pada 15 Juli 2020
AMD
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-9927: Lilang Wu bekerja sama dengan Zero Day Initiative dari TrendMicro
Entri diperbarui pada 5 Agustus 2020
Audio
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9884: Yu Zhou(@yuzhou6666) dari 小鸡帮 bekerja sama dengan Zero Day Initiative dari Trend Micro
CVE-2020-9889: Anonim yang bekerja sama dengan Zero Day Initiative dari Trend Micro, JunDong Xie dan XingWei Lin dari Ant-Financial Light-Year Security Lab
Entri diperbarui pada 5 Agustus 2020
Audio
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9888: JunDong Xie dan XingWei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9890: JunDong Xie dan XingWei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9891: JunDong Xie dan XingWei Lin dari Ant-Financial Light-Year Security Lab
Entri diperbarui pada 5 Agustus 2020
Bluetooth
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9928: Yu Wang dari Didi Research America
Entri ditambahkan pada 5 Agustus 2020
Bluetooth
Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9929: Yu Wang dari Didi Research America
Entri ditambahkan pada 5 Agustus 2020
Clang
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Clang dapat membuat kode mesin yang tidak menerapkan kode autentikasi penunjuk dengan benar
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2020-9870: Samuel Groß dari Google Project Zero
CoreAudio
Tersedia untuk: macOS High Sierra 10.13.6
Dampak: Kelebihan buffer dapat menyebabkan eksekusi kode arbitrer
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9866: Yu Zhou dari 小鸡帮 dan Jundong Xie dari Ant-Financial Light-Year Security Lab
Core Bluetooth
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang jarak jauh dapat mengakibatkan penghapusan aplikasi secara tidak terduga
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9869: Patrick Wardle dari Jamf
Entri ditambahkan pada 5 Agustus 2020
CoreCapture
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2020-9949: Proteas
Entri ditambahkan pada 12 November 2020
CoreFoundation
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Pengguna lokal dapat melihat informasi rahasia pengguna
Deskripsi: Masalah muncul saat menangani variabel lingkungan. Masalah ini telah diatasi dengan validasi yang ditingkatkan.
CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)
Entri diperbarui pada 5 Agustus 2020
CoreGraphics
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9883: peneliti anonim, Mickey Jin dari Trend Micro
Entri ditambahkan pada 24 Juli 2020, diperbarui pada 12 November 2020
Crash Reporter
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Aplikasi berbahaya mungkin dapat keluar dari sandbox
Deskripsi: Masalah kerusakan memori telah diatasi dengan menghapus kode yang rentan.
CVE-2020-9865: Zhuo Liang dari Qihoo 360 Vulcan Team bekerja sama dengan 360 BugCloud
Crash Reporter
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka
Deskripsi: Masalah muncul di dalam logika validasi jalur untuk symlink. Masalah ini telah diatasi melalui pembersihan jalur yang ditingkatkan.
CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) dari Zero-dayits Team dari Legendsec di Qi'anxin Group
Entri ditambahkan pada 5 Agustus 2020, diperbarui pada 17 Desember 2021
FontParser
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9980: Xingwei Lin dari Ant Security Light-Year Lab
Entri ditambahkan pada 21 September 2020, diperbarui pada 19 Oktober 2020
Graphics Drivers
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9799: ABC Research s.r.o.
Entri diperbarui pada 24 Juli 2020
Heimdal
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan perlindungan data yang ditingkatkan.
CVE-2020-9913: Cody Thomas dari SpecterOps
ImageIO
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-27933: Xingwei Lin dari Ant-Financial Light-Year Security Lab
Entri ditambahkan pada 16 Maret 2021
ImageIO
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Beberapa masalah kelebihan buffer muncul di openEXR
Deskripsi: Beberapa masalah di openEXR telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2020-11758: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-11759: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-11760: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-11761: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-11762: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-11763: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-11764: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-11765: Xingwei Lin dari Ant-Financial Light-Year Security Lab
Entri ditambahkan pada 8 September 2020
ImageIO
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9871: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9872: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9874: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9879: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9936: Mickey Jin dari Trend Micro
CVE-2020-9937: Xingwei Lin dari Ant-Financial Light-Year Security Lab
Entri diperbarui pada 5 Agustus 2020
ImageIO
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9919: Mickey Jin dari Trend Micro
Entri ditambahkan pada 24 Juli 2020
ImageIO
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Membuka file PDF berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9876: Mickey Jin dari Trend Micro
Entri ditambahkan pada 24 Juli 2020
ImageIO
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-9873: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin dari Ant-Financial Light-Year Security Lab
Entri ditambahkan pada 24 Juli 2020
ImageIO
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9877: Xingwei Lin dari Ant-Financial Light-Year Security Lab
Entri ditambahkan pada 5 Agustus 2020
ImageIO
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.
CVE-2020-9875: Mickey Jin dari Trend Micro
Entri ditambahkan pada 5 Agustus 2020
ImageIO
Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-9873: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9984: peneliti anonim
Entri ditambahkan pada 21 September 2020
Image Processing
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Menampilkan file JPEG perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-9887: Mickey Jin dari Trend Micro
Entri ditambahkan pada 8 September 2020
Intel Graphics Driver
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-9908: Junzhi Lu(@pwn0rz) yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Entri ditambahkan pada 24 Juli 2020, diperbarui pada 31 Agustus 2020
Intel Graphics Driver
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.
CVE-2020-9990: ABC Research s.r.l. yang bekerja sama dengan Zero Day Initiative dari Trend Micro, ABC Research s.r.o. yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Entri ditambahkan pada 21 September 2020
Intel Graphics Driver
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9921: ABC Research s.r.o. yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Entri ditambahkan pada 5 Agustus 2020
Kernel
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat masuk ke koneksi aktif dalam saluran VPN
Deskripsi: Masalah perutean telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2019-14899: William J. Tolley, Beau Kujath, dan Jedidiah R. Crandall
Kernel
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2020-9904: Tielei Wang dari Pangu Lab
Entri ditambahkan pada 24 Juli 2020
Kernel
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2020-9924: Matt DeVore dari Google
Entri ditambahkan pada 24 Juli 2020
Kernel
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2020-9892: Andy Nguyen dari Google
Entri ditambahkan pada 24 Juli 2020
Kernel
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9863: Xinru Chi dari Pangu Lab
Entri diperbarui pada 5 Agustus 2020
Kernel
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9902: Xinru Chi dan Tielei Wang dari Pangu Lab
Entri ditambahkan pada 5 Agustus 2020
Kernel
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9905: Raz Mashat (@RazMashat) dari ZecOps
Entri ditambahkan pada 5 Agustus 2020
Kernel
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Aplikasi berbahaya mungkin dapat mengungkap memori yang dibatasi
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2020-9997: Catalin Valeriu Lita dari SecurityScorecard
Entri ditambahkan pada 21 September 2020
libxml2
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses XML perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2020-9926: Ditemukan oleh OSS-Fuzz
Entri ditambahkan pada 16 Maret 2021
libxpc
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dampak: Aplikasi berbahaya dapat menimpa file arbitrer
Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.
CVE-2020-9994: Apple
Entri ditambahkan pada 21 September 2020
Login Window
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Pengguna mungkin tiba-tiba masuk ke akun pengguna lain
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2020-9935: peneliti anonim
Entri ditambahkan pada 21 September 2020
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2019-19906
Entri ditambahkan pada 24 Juli 2020, diperbarui pada 8 September 2020
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Server email berbahaya dapat menimpa file email arbitrer
Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.
CVE-2020-9920: YongYue Wang AKA BigChan dari Hillstone Networks AF Team
Entri ditambahkan pada 24 Juli 2020
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Pemrosesan email perusak yang berbahaya dapat mengakibatkan penulisan file arbitrer
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2020-9922: Mikko Kenttälä (@Turmio_) dari SensorFu
Entri ditambahkan pada 12 November 2020
Messages
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Pengguna yang dikeluarkan dari grup iMessage dapat bergabung kembali ke dalam grup
Deskripsi: Masalah muncul saat menangani tapback iMessage. Masalah telah diselesaikan dengan verifikasi tambahan.
CVE-2020-9885: peneliti anonim, Suryansh Mansharamani, dari WWP High School North (medium.com/@suryanshmansha)
Model I/O
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses file USD perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9878: Holger Fuhrmannek dari Deutsche Telekom Security
Model I/O
Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Dampak: Memproses file USD perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9880: Holger Fuhrmannek dari Deutsche Telekom Security
Entri ditambahkan pada 24 Juli 2020, diperbarui pada 21 September 2020
Model I/O
Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Dampak: Memproses file USD perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9878: Aleksandar Nikolic dari Cisco Talos, Holger Fuhrmannek dari Deutsche Telekom Security
CVE-2020-9881: Holger Fuhrmannek dari Deutsche Telekom Security
CVE-2020-9882: Holger Fuhrmannek dari Deutsche Telekom Security
CVE-2020-9940: Holger Fuhrmannek dari Deutsche Telekom Security
CVE-2020-9985: Holger Fuhrmannek dari Deutsche Telekom Security
Entri ditambahkan pada 24 Juli 2020, diperbarui pada 21 September 2020
OpenLDAP
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2020-12243
Entri ditambahkan pada 21 September 2020
Perl
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Kelebihan bilangan bulat di pengompilasi ekspresi reguler Perl dapat memungkinkan penyerang jarak jauh memasukkan petunjuk ke bentuk ekspresi biasa yang dikompilasi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2020-10878: Hugo van der Sanden dan Slaven Rezic
Entri ditambahkan pada 16 Maret 2021
Perl
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2020-12723: Sergey Aleynikov
Entri ditambahkan pada 16 Maret 2021
rsync
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dampak: Penyerang jarak jauh mungkin dapat menimpa file yang ada
Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.
CVE-2014-9512: gaojianfeng
Entri ditambahkan pada 24 Juli 2020
Sandbox
Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-9930: Zhiyi Zhang dari Codesafe Team dari Legendsec di Qi'anxin Group
Entri ditambahkan pada 15 Desember 2020
Sandbox
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Pengguna lokal dapat memuat ekstensi kernel yang tidak ditandatangani
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2020-9939: @jinmo123, @setuid0x0_, dan @insu_yun_en dari @SSLab_Gatech yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Entri ditambahkan pada 5 Agustus 2020
Security
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2020-9864: Alexander Holodny
Security
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Seorang penyerang mungkin dapat menyamar sebagai situs web tepercaya menggunakan materi kunci bersama untuk sertifikat yang ditambahkan administrator
Deskripsi: Masalah validasi sertifikat muncul saat memproses sertifikat yang ditambahkan administrator. Masalah ini telah diatasi dengan validasi sertifikat yang ditingkatkan.
CVE-2020-9868: Brian Wolff dari Asana
Entri ditambahkan pada 24 Juli 2020
Security
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2020-9854: Ilias Morad (A2nkF)
Entri ditambahkan pada 24 Juli 2020
sysdiagnose
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka
Deskripsi: Masalah muncul di dalam logika validasi jalur untuk symlink. Masalah ini telah diatasi melalui pembersihan jalur yang ditingkatkan.
CVE-2020-9901: Tim Michaud (@TimGMichaud) dari Leviathan, Zhongcheng Li (CK01) dari Zero-dayits Team dari Legendsec di Qi'anxin Group
Entri ditambahkan pada 5 Agustus 2020, diperbarui pada 31 Agustus 2020
Vim
Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2019-20807: Guilherme de Almeida Suckevicz
WebDAV
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox
Deskripsi: Masalah ini telah diatasi dengan penetapan hak yang ditingkatkan.
CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)
Entri ditambahkan pada 8 September 2020
Wi-Fi
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-9918: Jianjun Dai dari 360 Alpha Lab bekerja sama dengan 360 BugCloud (bugcloud.360.cn)
Wi-Fi
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-9899: Yu Wang dari Didi Research America
Entri ditambahkan pada 24 Juli 2020
Wi-Fi
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-9906: Ian Beer dari Google Project Zero
Entri ditambahkan pada 24 Juli 2020
Penghargaan tambahan
CoreFoundation
Kami ingin mengucapkan terima kasih kepada Bobby Pelletier atas bantuannya.
Entri ditambahkan pada 8 September 2020
ImageIO
Kami ingin mengucapkan terima kasih kepada Xingwei Lin dari Ant-Financial Light-Year Security Lab atas bantuannya.
Entri ditambahkan pada 21 September 2020
Siri
Kami ingin mengucapkan terima kasih kepada Yuval Ron, Amichai Shulman, dan Eli Biham dari Technion - Israel Institute of Technology atas bantuannya.
Entri ditambahkan pada 5 Agustus 2020
Audio USB
Kami ingin mengucapkan terima kasih kepada Andy Davis dari NCC Group atas bantuannya.