Mengenai konten keamanan macOS Catalina 10.15.6, Pembaruan Keamanan 2020-004 Mojave, Pembaruan Keamanan 2020-004 High Sierra

Dokumen ini menjelaskan konten keamanan macOS Catalina 10.15.6, Pembaruan Keamanan 2020-004 Mojave, Pembaruan Keamanan 2020-004 High Sierra.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

macOS Catalina 10.15.6, Pembaruan Keamanan 2020-004 Mojave, Pembaruan Keamanan 2020-004 High Sierra

Dirilis pada 15 Juli 2020

AMD

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2020-9927: Lilang Wu bekerja sama dengan Zero Day Initiative dari TrendMicro

Entri diperbarui pada 5 Agustus 2020

Audio

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9884: Yu Zhou(@yuzhou6666) dari 小鸡帮 bekerja sama dengan Zero Day Initiative dari Trend Micro

CVE-2020-9889: Anonim bekerja sama dengan Zero Day Initiative dari Trend Micro, JunDong Xie dan XingWei Lin dari Ant-financial Light-Year Security Lab

Entri diperbarui pada 5 Agustus 2020

Audio

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9888: JunDong Xie dan XingWei Lin dari Ant-financial Light-Year Security Lab

CVE-2020-9890: JunDong Xie dan XingWei Lin dari Ant-financial Light-Year Security Lab

CVE-2020-9891: JunDong Xie dan XingWei Lin dari Ant-financial Light-Year Security Lab

Entri diperbarui pada 5 Agustus 2020

Bluetooth

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9928: Yu Wang dari Didi Research America

Entri ditambahkan pada 5 Agustus 2020

Bluetooth

Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9929: Yu Wang dari Didi Research America

Entri ditambahkan pada 5 Agustus 2020

Clang

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Clang dapat membuat kode mesin yang tidak menerapkan kode autentikasi penunjuk dengan benar

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2020-9870: Samuel Groß dari Google Project Zero

CoreAudio

Tersedia untuk: macOS High Sierra 10.13.6

Dampak: Kelebihan buffer dapat menyebabkan eksekusi kode arbitrer

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9866: Yu Zhou dari 小鸡帮 dan Jundong Xie dari Ant-financial Light-Year Security Lab

Bluetooth Inti

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Penyerang jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9869: Patrick Wardle dari Jamf

Entri ditambahkan pada 5 Agustus 2020

CoreFoundation

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Pengguna lokal dapat melihat informasi rahasia pengguna

Deskripsi: Masalah muncul saat menangani variabel lingkungan. Masalah ini telah diatasi dengan validasi yang ditingkatkan.

CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)

Entri diperbarui pada 5 Agustus 2020

CoreGraphics

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9883: Mickey Jin dari Trend Micro

Entri ditambahkan pada 24 Juli 2020

Pelapor Crash

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Aplikasi berbahaya mungkin dapat keluar dari sandbox

Deskripsi: Masalah kerusakan memori telah diatasi dengan menghapus kode yang rentan.

CVE-2020-9865: Zhuo Liang dari Qihoo 360 Vulcan Team bekerja sama dengan 360 BugCloud

Pelapor Crash

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka

Penjelasan: Masalah muncul di dalam logika validasi jalur untuk symlink. Masalah ini telah diatasi melalui pembersihan jalur yang ditingkatkan.

CVE-2020-9900: Zhongcheng Li (CK01) dari Zero-dayits Team dari Legendsec di Qi'anxin Group

Entri ditambahkan pada 5 Agustus 2020

Driver Grafis

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9799: ABC Research s.r.o.

Entri diperbarui pada 24 Juli 2020

Heimdal

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan perlindungan data yang ditingkatkan.

CVE-2020-9913: Cody Thomas dari SpecterOps

ImageIO

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9871: Xingwei Lin dari Ant-financial Light-Year Security Lab

CVE-2020-9872: Xingwei Lin dari Ant-financial Light-Year Security Lab

CVE-2020-9874: Xingwei Lin dari Ant-financial Light-Year Security Lab

CVE-2020-9879: Xingwei Lin dari Ant-Financial Light-Year Security Lab

CVE-2020-9936: Mickey Jin dari Trend Micro

CVE-2020-9937: Xingwei Lin dari Ant-Financial Light-Year Security Lab

Entri diperbarui pada 5 Agustus 2020

ImageIO

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9919: Mickey Jin dari Trend Micro

Entri ditambahkan pada 24 Juli 2020

ImageIO

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Membuka file PDF berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9876: Mickey Jin dari Trend Micro

Entri ditambahkan pada 24 Juli 2020

ImageIO

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2020-9873: Xingwei Lin dari Ant-financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin dari Ant-financial Light-Year Security Lab

Entri ditambahkan pada 24 Juli 2020

ImageIO

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9877: Xingwei Lin dari Ant-financial Light-Year Security Lab

Entri ditambahkan pada 5 Agustus 2020

ImageIO

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Penjelasan: Kelebihan bilangan bulat telah diatasi melalui validasi input yang ditingkatkan.

CVE-2020-9875: Mickey Jin dari Trend Micro

Entri ditambahkan pada 5 Agustus 2020

Driver Intel Graphics

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Pengguna lokal dapat menyebabkan sistem berhenti secara tiba-tiba atau membaca memori kernel

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2020-9908:  Junzhi Lu (@pwn0rz) dari Trend Micro

Entri ditambahkan pada 24 Juli 2020

Driver Intel Graphics

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9921: ABC Research s.r.o. bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 5 Agustus 2020

Kernel

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat masuk ke koneksi aktif dalam saluran VPN

Deskripsi: Masalah perutean telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2019-14899: William J. Tolley, Beau Kujath, dan Jedidiah R. Crandall

Kernel

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2020-9904: Tielei Wang dari Pangu Lab

Entri ditambahkan pada 24 Juli 2020

Kernel

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2020-9924: Matt DeVore dari Google

Entri ditambahkan pada 24 Juli 2020

Kernel

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2020-9892: Andy Nguyen dari Google

Entri ditambahkan pada 24 Juli 2020

Kernel

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9863: Xinru Chi dari Pangu Lab

Entri diperbarui pada 5 Agustus 2020

Kernel

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9902: Xinru Chi dan Tielei Wang dari Pangu Lab

Entri ditambahkan pada 5 Agustus 2020

Kernel

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9905: Raz Mashat (@RazMashat) dari ZecOps

Entri ditambahkan pada 5 Agustus 2020

Mail

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2019-19906

Entri diperbarui pada 24 Juli 2020

Mail

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Server email berbahaya dapat menimpa file email arbitrer

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2020-9920: YongYue Wang AKA BigChan dari Hillstone Networks AF Team

Entri ditambahkan pada 24 Juli 2020

Pesan

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Pengguna yang dikeluarkan dari grup iMessage dapat bergabung kembali ke dalam grup

Deskripsi: Masalah muncul saat menangani tapback iMessage. Masalah telah diselesaikan dengan verifikasi tambahan.

CVE-2020-9885: peneliti anonim, Suryansh Mansharamani, dari WWP High School North (medium.com/@suryanshmansha)

I/O Model

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Memproses file USD perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9878: Holger Fuhrmannek dari Deutsche Telekom Security

I/O Model

Tersedia untuk: macOS Mojave 10.14.6

Dampak: Memproses file USD perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9880: Holger Fuhrmannek dari Deutsche Telekom Security

Entri ditambahkan pada 24 Juli 2020

I/O Model

Tersedia untuk: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Dampak: Memproses file USD perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9878: Holger Fuhrmannek dari Deutsche Telekom Security

CVE-2020-9881: Holger Fuhrmannek dari Deutsche Telekom Security

CVE-2020-9882: Holger Fuhrmannek dari Deutsche Telekom Security

Entri ditambahkan pada 24 Juli 2020

rsync

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Penyerang jarak jauh mungkin dapat menimpa file yang ada

Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.

CVE-2014-9512: gaojianfeng

Entri ditambahkan pada 24 Juli 2020

Sandbox

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Pengguna lokal dapat memuat ekstensi kernel yang tidak ditandatangani

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2020-9939: @jinmo123, @setuid0x0_, dan @insu_yun_en dari @SSLab_Gatech bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 5 Agustus 2020

Keamanan

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2020-9864: Alexander Holodny

Keamanan

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Seorang penyerang mungkin dapat menyamar sebagai situs web tepercaya menggunakan materi kunci bersama untuk sertifikat yang ditambahkan administrator

Deskripsi: Masalah validasi sertifikat muncul saat memproses sertifikat yang ditambahkan administrator. Masalah ini telah diatasi dengan validasi sertifikat yang ditingkatkan.

CVE-2020-9868: Brian Wolff dari Asana

Entri ditambahkan pada 24 Juli 2020

Keamanan

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Sebuah aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2020-9854: Ilias Morad (A2nkF)

Entri ditambahkan pada 24 Juli 2020

sysdiagnose

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka

Penjelasan: Masalah muncul di dalam logika validasi jalur untuk symlink. Masalah ini telah diatasi melalui pembersihan jalur yang ditingkatkan.

CVE-2020-9901: Zhongcheng Li (CK01) dari Zero-dayits Team dari Legendsec di Qi'anxin Group

Entri ditambahkan pada 5 Agustus 2020

Vim

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2019-20807: Guilherme de Almeida Suckevicz

Wi-Fi

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2020-9918: Jianjun Dai dari 360 Alpha Lab bekerja sama dengan 360 BugCloud (bugcloud.360.cn)

Wi-Fi

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2020-9899: Yu Wang dari Didi Research America

Entri ditambahkan pada 24 Juli 2020

Wi-Fi

Tersedia untuk: macOS Catalina 10.15.5

Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2020-9906: Ian Beer dari Google Project Zero

Entri ditambahkan pada 24 Juli 2020

Penghargaan tambahan

Siri

Kami ingin mengucapkan terima kasih kepada Yuval Ron, Amichai Shulman, dan Eli Biham dari Technion - Israel Institute of Technology atas bantuannya.

Entri ditambahkan pada 5 Agustus 2020

Audio USB

Kami ingin mengucapkan terima kasih kepada Andy Davis dari NCC Group atas bantuannya.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: