Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
macOS Catalina 10.15.6, Pembaruan Keamanan 2020-004 Mojave, Pembaruan Keamanan 2020-004 High Sierra
Dirilis pada 15 Juli 2020
AMD
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-9927: Lilang Wu bekerja sama dengan Zero Day Initiative dari TrendMicro
Entri diperbarui pada 5 Agustus 2020
Audio
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9884: Yu Zhou(@yuzhou6666) dari 小鸡帮 bekerja sama dengan Zero Day Initiative dari Trend Micro
CVE-2020-9889: Anonim bekerja sama dengan Zero Day Initiative dari Trend Micro, JunDong Xie dan XingWei Lin dari Ant-financial Light-Year Security Lab
Entri diperbarui pada 5 Agustus 2020
Audio
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9888: JunDong Xie dan XingWei Lin dari Ant-financial Light-Year Security Lab
CVE-2020-9890: JunDong Xie dan XingWei Lin dari Ant-financial Light-Year Security Lab
CVE-2020-9891: JunDong Xie dan XingWei Lin dari Ant-financial Light-Year Security Lab
Entri diperbarui pada 5 Agustus 2020
Bluetooth
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9928: Yu Wang dari Didi Research America
Entri ditambahkan pada 5 Agustus 2020
Bluetooth
Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9929: Yu Wang dari Didi Research America
Entri ditambahkan pada 5 Agustus 2020
Clang
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Clang dapat membuat kode mesin yang tidak menerapkan kode autentikasi penunjuk dengan benar
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2020-9870: Samuel Groß dari Google Project Zero
CoreAudio
Tersedia untuk: macOS High Sierra 10.13.6
Dampak: Kelebihan buffer dapat menyebabkan eksekusi kode arbitrer
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9866: Yu Zhou dari 小鸡帮 dan Jundong Xie dari Ant-financial Light-Year Security Lab
Bluetooth Inti
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9869: Patrick Wardle dari Jamf
Entri ditambahkan pada 5 Agustus 2020
CoreFoundation
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Pengguna lokal dapat melihat informasi rahasia pengguna
Deskripsi: Masalah muncul saat menangani variabel lingkungan. Masalah ini telah diatasi dengan validasi yang ditingkatkan.
CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)
Entri diperbarui pada 5 Agustus 2020
CoreGraphics
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9883: Mickey Jin dari Trend Micro
Entri ditambahkan pada 24 Juli 2020
Pelapor Crash
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Aplikasi berbahaya mungkin dapat keluar dari sandbox
Deskripsi: Masalah kerusakan memori telah diatasi dengan menghapus kode yang rentan.
CVE-2020-9865: Zhuo Liang dari Qihoo 360 Vulcan Team bekerja sama dengan 360 BugCloud
Pelapor Crash
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka
Penjelasan: Masalah muncul di dalam logika validasi jalur untuk symlink. Masalah ini telah diatasi melalui pembersihan jalur yang ditingkatkan.
CVE-2020-9900: Zhongcheng Li (CK01) dari Zero-dayits Team dari Legendsec di Qi'anxin Group
Entri ditambahkan pada 5 Agustus 2020
Driver Grafis
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9799: ABC Research s.r.o.
Entri diperbarui pada 24 Juli 2020
Heimdal
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan perlindungan data yang ditingkatkan.
CVE-2020-9913: Cody Thomas dari SpecterOps
ImageIO
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9871: Xingwei Lin dari Ant-financial Light-Year Security Lab
CVE-2020-9872: Xingwei Lin dari Ant-financial Light-Year Security Lab
CVE-2020-9874: Xingwei Lin dari Ant-financial Light-Year Security Lab
CVE-2020-9879: Xingwei Lin dari Ant-Financial Light-Year Security Lab
CVE-2020-9936: Mickey Jin dari Trend Micro
CVE-2020-9937: Xingwei Lin dari Ant-Financial Light-Year Security Lab
Entri diperbarui pada 5 Agustus 2020
ImageIO
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9919: Mickey Jin dari Trend Micro
Entri ditambahkan pada 24 Juli 2020
ImageIO
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Membuka file PDF berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9876: Mickey Jin dari Trend Micro
Entri ditambahkan pada 24 Juli 2020
ImageIO
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-9873: Xingwei Lin dari Ant-financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin dari Ant-financial Light-Year Security Lab
Entri ditambahkan pada 24 Juli 2020
ImageIO
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9877: Xingwei Lin dari Ant-financial Light-Year Security Lab
Entri ditambahkan pada 5 Agustus 2020
ImageIO
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Kelebihan bilangan bulat telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-9875: Mickey Jin dari Trend Micro
Entri ditambahkan pada 5 Agustus 2020
Driver Intel Graphics
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Pengguna lokal dapat menyebabkan sistem berhenti secara tiba-tiba atau membaca memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-9908: Junzhi Lu (@pwn0rz) dari Trend Micro
Entri ditambahkan pada 24 Juli 2020
Driver Intel Graphics
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9921: ABC Research s.r.o. bekerja sama dengan Zero Day Initiative dari Trend Micro
Entri ditambahkan pada 5 Agustus 2020
Kernel
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat masuk ke koneksi aktif dalam saluran VPN
Deskripsi: Masalah perutean telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2019-14899: William J. Tolley, Beau Kujath, dan Jedidiah R. Crandall
Kernel
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2020-9904: Tielei Wang dari Pangu Lab
Entri ditambahkan pada 24 Juli 2020
Kernel
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2020-9924: Matt DeVore dari Google
Entri ditambahkan pada 24 Juli 2020
Kernel
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2020-9892: Andy Nguyen dari Google
Entri ditambahkan pada 24 Juli 2020
Kernel
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9863: Xinru Chi dari Pangu Lab
Entri diperbarui pada 5 Agustus 2020
Kernel
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9902: Xinru Chi dan Tielei Wang dari Pangu Lab
Entri ditambahkan pada 5 Agustus 2020
Kernel
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9905: Raz Mashat (@RazMashat) dari ZecOps
Entri ditambahkan pada 5 Agustus 2020
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2019-19906
Entri diperbarui pada 24 Juli 2020
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Server email berbahaya dapat menimpa file email arbitrer
Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.
CVE-2020-9920: YongYue Wang AKA BigChan dari Hillstone Networks AF Team
Entri ditambahkan pada 24 Juli 2020
Pesan
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Pengguna yang dikeluarkan dari grup iMessage dapat bergabung kembali ke dalam grup
Deskripsi: Masalah muncul saat menangani tapback iMessage. Masalah telah diselesaikan dengan verifikasi tambahan.
CVE-2020-9885: peneliti anonim, Suryansh Mansharamani, dari WWP High School North (medium.com/@suryanshmansha)
I/O Model
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Memproses file USD perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9878: Holger Fuhrmannek dari Deutsche Telekom Security
I/O Model
Tersedia untuk: macOS Mojave 10.14.6
Dampak: Memproses file USD perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9880: Holger Fuhrmannek dari Deutsche Telekom Security
Entri ditambahkan pada 24 Juli 2020
I/O Model
Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Dampak: Memproses file USD perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9878: Holger Fuhrmannek dari Deutsche Telekom Security
CVE-2020-9881: Holger Fuhrmannek dari Deutsche Telekom Security
CVE-2020-9882: Holger Fuhrmannek dari Deutsche Telekom Security
Entri ditambahkan pada 24 Juli 2020
rsync
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dampak: Penyerang jarak jauh mungkin dapat menimpa file yang ada
Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.
CVE-2014-9512: gaojianfeng
Entri ditambahkan pada 24 Juli 2020
Sandbox
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Pengguna lokal dapat memuat ekstensi kernel yang tidak ditandatangani
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2020-9939: @jinmo123, @setuid0x0_, dan @insu_yun_en dari @SSLab_Gatech bekerja sama dengan Zero Day Initiative dari Trend Micro
Entri ditambahkan pada 5 Agustus 2020
Keamanan
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2020-9864: Alexander Holodny
Keamanan
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Seorang penyerang mungkin dapat menyamar sebagai situs web tepercaya menggunakan materi kunci bersama untuk sertifikat yang ditambahkan administrator
Deskripsi: Masalah validasi sertifikat muncul saat memproses sertifikat yang ditambahkan administrator. Masalah ini telah diatasi dengan validasi sertifikat yang ditingkatkan.
CVE-2020-9868: Brian Wolff dari Asana
Entri ditambahkan pada 24 Juli 2020
Keamanan
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dampak: Sebuah aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2020-9854: Ilias Morad (A2nkF)
Entri ditambahkan pada 24 Juli 2020
sysdiagnose
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka
Penjelasan: Masalah muncul di dalam logika validasi jalur untuk symlink. Masalah ini telah diatasi melalui pembersihan jalur yang ditingkatkan.
CVE-2020-9901: Zhongcheng Li (CK01) dari Zero-dayits Team dari Legendsec di Qi'anxin Group
Entri ditambahkan pada 5 Agustus 2020
Vim
Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2019-20807: Guilherme de Almeida Suckevicz
Wi-Fi
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-9918: Jianjun Dai dari 360 Alpha Lab bekerja sama dengan 360 BugCloud (bugcloud.360.cn)
Wi-Fi
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-9899: Yu Wang dari Didi Research America
Entri ditambahkan pada 24 Juli 2020
Wi-Fi
Tersedia untuk: macOS Catalina 10.15.5
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-9906: Ian Beer dari Google Project Zero
Entri ditambahkan pada 24 Juli 2020
Penghargaan tambahan
Siri
Kami ingin mengucapkan terima kasih kepada Yuval Ron, Amichai Shulman, dan Eli Biham dari Technion - Israel Institute of Technology atas bantuannya.
Entri ditambahkan pada 5 Agustus 2020
Audio USB
Kami ingin mengucapkan terima kasih kepada Andy Davis dari NCC Group atas bantuannya.