Informazioni sui contenuti di sicurezza di macOS Catalina 10.15.6, dell'aggiornamento di sicurezza 2020-004 per macOS Mojave e dell'aggiornamento di sicurezza 2020-004 per macOS High Sierra
In questo documento vengono descritti i contenuti di sicurezza di macOS Catalina 10.15.6, dell'aggiornamento di sicurezza 2020-004 per macOS Mojave e dell'aggiornamento di sicurezza 2020-004 per macOS High Sierra.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Catalina 10.15.6, aggiornamento di sicurezza 2020-004 per macOS Mojave, aggiornamento di sicurezza 2020-004 per macOS High Sierra
AMD
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-9927: Lilang Wu in collaborazione con Zero Day Initiative di Trend Micro
Audio
Disponibile per: macOS Catalina 10.15.5
Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-9884: Yu Zhou (@yuzhou6666) di 小鸡帮 in collaborazione con Zero Day Initiative di Trend Micro
CVE-2020-9889: anonimo in collaborazione con Zero Day Initiative di Trend Micro, JunDong Xie e Xingwei Lin di Ant-Financial Light-Year Security Lab
Audio
Disponibile per: macOS Catalina 10.15.5
Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-9888: JunDong Xie e Xingwei Lin di Ant-Financial Light-Year Security Lab
CVE-2020-9890: JunDong Xie e Xingwei Lin di Ant-Financial Light-Year Security Lab
CVE-2020-9891: JunDong Xie e Xingwei Lin di Ant-Financial Light-Year Security Lab
Bluetooth
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2020-9928: Yu Wang di Didi Research America
Bluetooth
Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-9929: Yu Wang di Didi Research America
Clang
Disponibile per: macOS Catalina 10.15.5
Impatto: Clang potrebbe generare del codice macchina che non applica correttamente i codici di autenticazione del puntatore.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2020-9870: Samuel Groß di Google Project Zero
CoreAudio
Disponibile per: macOS High Sierra 10.13.6
Impatto: un overflow del buffer può causare l'esecuzione di codice arbitrario.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2020-9866: Yu Zhou di 小鸡帮 e Jundong Xie di Ant-Financial Light-Year Security Lab
Core Bluetooth
Disponibile per: macOS Catalina 10.15.5
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-9869: Patrick Wardle di Jamf
CoreCapture
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-9949: Proteas
CoreFoundation
Disponibile per: macOS Catalina 10.15.5
Impatto: un utente collegato in locale può essere in grado di visualizzare informazioni riservate degli utenti.
Descrizione: si verificava un problema nella gestione delle variabili ambientali. Il problema è stato risolto attraverso una migliore convalida.
CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)
CoreGraphics
Disponibile per: macOS Catalina 10.15.5
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-9883: un ricercatore anonimo, Mickey Jin di Trend Micro
Crash Reporter
Disponibile per: macOS Catalina 10.15.5
Impatto: un'applicazione dannosa potrebbe essere in grado di uscire dalla sandbox.
Descrizione: un problema di danneggiamento della memoria è stato risolto rimuovendo il codice vulnerabile.
CVE-2020-9865: Zhuo Liang di Qihoo 360 Vulcan Team in collaborazione con 360 BugCloud
Crash Reporter
Disponibile per: macOS Catalina 10.15.5
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: si verificava un problema all'interno della logica di convalida dei percorsi per i symlink. Il problema è stato risolto attraverso una migliore sanitizzazione dei percorsi.
CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) del Team Zero-dayits di Legendsec presso Qi'anxin Group
FontParser
Disponibile per: macOS Catalina 10.15.5
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-9980: Xingwei Lin di Ant Security Light-Year Lab
Graphics Drivers
Disponibile per: macOS Catalina 10.15.5
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-9799: ABC Research s.r.o.
Heimdal
Disponibile per: macOS Catalina 10.15.5
Impatto: un utente locale può essere in grado di divulgare informazioni sensibili degli utenti.
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2020-9913: Cody Thomas di SpecterOps
ImageIO
Disponibile per: macOS Catalina 10.15.5
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-27933: Xingwei Lin di Ant-Financial Light-Year Security Lab
ImageIO
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: in openEXR erano presenti più problemi di overflow del buffer.
Descrizione: diversi problemi in openEXR sono stati risolti attraverso migliori verifiche.
CVE-2020-11758: Xingwei Lin di Ant-Financial Light-Year Security Lab
CVE-2020-11759: Xingwei Lin di Ant-Financial Light-Year Security Lab
CVE-2020-11760: Xingwei Lin di Ant-Financial Light-Year Security Lab
CVE-2020-11761: Xingwei Lin di Ant-Financial Light-Year Security Lab
CVE-2020-11762: Xingwei Lin di Ant-Financial Light-Year Security Lab
CVE-2020-11763: Xingwei Lin di Ant-Financial Light-Year Security Lab
CVE-2020-11764: Xingwei Lin di Ant-Financial Light-Year Security Lab
CVE-2020-11765: Xingwei Lin di Ant-Financial Light-Year Security Lab
ImageIO
Disponibile per: macOS Catalina 10.15.5
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-9871: Xingwei Lin di Ant-Financial Light-Year Security Lab
CVE-2020-9872: Xingwei Lin di Ant-Financial Light-Year Security Lab
CVE-2020-9874: Xingwei Lin di Ant-Financial Light-Year Security Lab
CVE-2020-9879: Xingwei Lin di Ant-Financial Light-Year Security Lab
CVE-2020-9936: Mickey Jin di Trend Micro
CVE-2020-9937: Xingwei Lin di Ant-Financial Light-Year Security Lab
ImageIO
Disponibile per: macOS Catalina 10.15.5
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-9919: Mickey Jin di Trend Micro
ImageIO
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-9876: Mickey Jin di Trend Micro
ImageIO
Disponibile per: macOS Catalina 10.15.5
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-9873: Xingwei Lin di Ant-Financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin di Ant-Financial Light-Year Security Lab
ImageIO
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-9877: Xingwei Lin di Ant-Financial Light-Year Security Lab
ImageIO
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2020-9875: Mickey Jin di Trend Micro
ImageIO
Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-9873: Xingwei Lin di Ant-Financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin di Ant-Financial Light-Year Security Lab
CVE-2020-9984: un ricercatore anonimo
Image Processing
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: la visualizzazione di un file JPEG pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-9887: Mickey Jin di Trend Micro
Intel Graphics Driver
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-9908: Junzhi Lu(@pwn0rz) in collaborazione con Zero Day Initiative di Trend Micro
Intel Graphics Driver
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2020-9990: ABC Research s.r.l. in collaborazione con Zero Day Initiative di Trend Micro, ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro
Intel Graphics Driver
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-9921: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro
Kernel
Disponibile per: macOS Catalina 10.15.5
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di inserirsi in connessioni attive all'interno di un tunnel VPN.
Descrizione: un problema di instradamento è stato risolto attraverso migliori limitazioni.
CVE-2019-14899: William J. Tolley, Beau Kujath e Jedidiah R. Crandall
Kernel
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-9904: Tielei Wang di Pangu Lab
Kernel
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-9924: Matt DeVore di Google
Kernel
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione dello stato.
CVE-2020-9892: Andy Nguyen di Google
Kernel
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-9863: Xinru Chi di Pangu Lab
Kernel
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-9902: Xinru Chi e Tielei Wang di Pangu Lab
Kernel
Disponibile per: macOS Catalina 10.15.5
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2020-9905: Raz Mashat (@RazMashat) di ZecOps
Kernel
Disponibile per: macOS Catalina 10.15.5
Impatto: un'applicazione dannosa può causare la divulgazione della memoria con restrizioni.
Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-9997: Catalin Valeriu Lita di SecurityScorecard
libxml2
Disponibile per: macOS Catalina 10.15.5
Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-9926: rilevato da OSS-Fuzz
libxpc
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impatto: un'applicazione dannosa può sovrascrivere file arbitrari.
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2020-9994: Apple
Login Window
Disponibile per: macOS Catalina 10.15.5
Impatto: un utente può accedere inaspettatamente all'account di un altro utente.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-9935: un ricercatore anonimo
Disponibile per: macOS Catalina 10.15.5
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2019-19906
Disponibile per: macOS Catalina 10.15.5
Impatto: un server di posta dannoso può sovrascrivere file di posta arbitrari.
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2020-9920: YongYue Wang (alias BigChan) di Hillstone Networks AF Team
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: l'elaborazione di un'email dannosa può causare l'esecuzione di file arbitrari.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-9922: Mikko Kenttälä (@Turmio_) di SensorFu
Messages
Disponibile per: macOS Catalina 10.15.5
Impatto: un utente rimosso da un gruppo iMessage poteva riunirsi al gruppo.
Descrizione: si verificava un problema nella gestione dei Tapback di iMessage. Il problema è stato risolto con una verifica aggiuntiva.
CVE-2020-9885: un ricercatore anonimo e Suryansh Mansharamani di WWP High School North (medium.com/@suryanshmansha)
Model I/O
Disponibile per: macOS Catalina 10.15.5
Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-9878: Holger Fuhrmannek di Deutsche Telekom Security
Model I/O
Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2020-9880: Holger Fuhrmannek di Deutsche Telekom Security
Model I/O
Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-9878: Aleksandar Nikolic di Cisco Talos, Holger Fuhrmannek di Deutsche Telekom Security
CVE-2020-9881: Holger Fuhrmannek di Deutsche Telekom Security
CVE-2020-9882: Holger Fuhrmannek di Deutsche Telekom Security
CVE-2020-9940: Holger Fuhrmannek di Deutsche Telekom Security
CVE-2020-9985: Holger Fuhrmannek di Deutsche Telekom Security
OpenLDAP
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-12243
Perl
Disponibile per: macOS Catalina 10.15.5
Impatto: un overflow dei numeri interi del compiler di espressioni regolari Perl potrebbe permettere a un utente malintenzionato di inserire istruzioni nel modulo compilato di un'espressione regolare.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-10878: Hugo van der Sanden e Slaven Rezic
Perl
Disponibile per: macOS Catalina 10.15.5
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-12723: Sergey Aleynikov
rsync
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impatto: un utente malintenzionato collegato in remoto può essere in grado di sovrascrivere i file esistenti.
Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2014-9512: gaojianfeng
Sandbox
Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-9930: Zhiyi Zhang del Codesafe Team di Legendsec presso Qi'anxin Group
Sandbox
Disponibile per: macOS Catalina 10.15.5
Impatto: un utente locale può essere in grado di caricare estensioni del kernel non firmate.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-9939: @jinmo123, @setuid0x0_ e @insu_yun_en di @SSLab_Gatech in collaborazione con Zero Day Initiative di Trend Micro
Security
Disponibile per: macOS Catalina 10.15.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2020-9864: Alexander Holodny
Security
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: un utente malintenzionato può essere stato in grado di impersonare un sito web attendibile utilizzando materiale chiave condiviso per un certificato aggiunto dall'amministratore.
Descrizione: si verificava un problema di convalida dei certificati durante l'elaborazione dei certificati aggiunti dall'amministratore. Questo problema è stato risolto attraverso una migliore convalida dei certificati.
CVE-2020-9868: Brian Wolff di Asana
Security
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2020-9854: Ilias Morad (A2nkF)
sysdiagnose
Disponibile per: macOS Catalina 10.15.5
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: si verificava un problema all'interno della logica di convalida dei percorsi per i symlink. Il problema è stato risolto attraverso una migliore sanitizzazione dei percorsi.
CVE-2020-9901: Tim Michaud (@TimGMichaud) di Leviathan, Zhongcheng Li (CK01) del Team Zero-dayits di Legendsec presso Qi'anxin Group
Vim
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-20807: Guilherme de Almeida Suckevicz
WebDAV
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.
CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)
Wi-Fi
Disponibile per: macOS Catalina 10.15.5
Impatto: un utente malintenzionato collegato in remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-9918: Jianjun Dai di 360 Alpha Lab in collaborazione con 360 BugCloud (bugcloud.360.cn)
Wi-Fi
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-9899: Yu Wang di Didi Research America
Wi-Fi
Disponibile per: macOS Catalina 10.15.5
Impatto: un utente malintenzionato collegato in remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-9906: Ian Beer di Google Project Zero
Altri riconoscimenti
CoreFoundation
Ringraziamo Bobby Pelletier per l'assistenza.
ImageIO
Ringraziamo Xingwei Lin di Ant-Financial Light-Year Security Lab per l'assistenza.
Siri
Ringraziamo Yuval Ron, Amichai Shulman ed Eli Biham del Technion - Israel Institute of Technology per l'assistenza.
USB Audio
Ringraziamo Andy Davis di NCC Group per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.