Informazioni sui contenuti di sicurezza di macOS Catalina 10.15.6, dell'aggiornamento di sicurezza 2020-004 per macOS Mojave e dell'aggiornamento di sicurezza 2020-004 per macOS High Sierra

In questo documento vengono descritti i contenuti di sicurezza di macOS Catalina 10.15.6, dell'aggiornamento di sicurezza 2020-004 per macOS Mojave e dell'aggiornamento di sicurezza 2020-004 per macOS High Sierra.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Catalina 10.15.6, aggiornamento di sicurezza 2020-004 per macOS Mojave, aggiornamento di sicurezza 2020-004 per macOS High Sierra

Data di rilascio: 15 luglio 2020

AMD

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9927: Lilang Wu in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiornata il 5 agosto 2020

Audio

Disponibile per: macOS Catalina 10.15.5

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9884: Yu Zhou (@yuzhou6666) di 小鸡帮 in collaborazione con Zero Day Initiative di Trend Micro

CVE-2020-9889: anonimo in collaborazione con Zero Day Initiative di Trend Micro, JunDong Xie e Xingwei Lin di Ant-Financial Light-Year Security Lab

Voce aggiornata il 5 agosto 2020

Audio

Disponibile per: macOS Catalina 10.15.5

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9888: JunDong Xie e Xingwei Lin di Ant-Financial Light-Year Security Lab

CVE-2020-9890: JunDong Xie e Xingwei Lin di Ant-Financial Light-Year Security Lab

CVE-2020-9891: JunDong Xie e Xingwei Lin di Ant-Financial Light-Year Security Lab

Voce aggiornata il 5 agosto 2020

Bluetooth

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2020-9928: Yu Wang di Didi Research America

Voce aggiunta il 5 agosto 2020

Bluetooth

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9929: Yu Wang di Didi Research America

Voce aggiunta il 5 agosto 2020

Clang

Disponibile per: macOS Catalina 10.15.5

Impatto: Clang potrebbe generare del codice macchina che non applica correttamente i codici di autenticazione del puntatore.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2020-9870: Samuel Groß di Google Project Zero

CoreAudio

Disponibile per: macOS High Sierra 10.13.6

Impatto: un overflow del buffer può causare l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2020-9866: Yu Zhou di 小鸡帮 e Jundong Xie di Ant-Financial Light-Year Security Lab

Core Bluetooth

Disponibile per: macOS Catalina 10.15.5

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9869: Patrick Wardle di Jamf

Voce aggiunta il 5 agosto 2020

CoreCapture

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9949: Proteas

Voce aggiunta il 12 novembre 2020

CoreFoundation

Disponibile per: macOS Catalina 10.15.5

Impatto: un utente collegato in locale può essere in grado di visualizzare informazioni riservate degli utenti.

Descrizione: si verificava un problema nella gestione delle variabili ambientali. Il problema è stato risolto attraverso una migliore convalida.

CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)

Voce aggiornata il 5 agosto 2020

CoreGraphics

Disponibile per: macOS Catalina 10.15.5

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9883: un ricercatore anonimo, Mickey Jin di Trend Micro

Voce aggiunta il 24 luglio 2020, aggiornata il 12 novembre 2020

Crash Reporter

Disponibile per: macOS Catalina 10.15.5

Impatto: un'applicazione dannosa potrebbe essere in grado di uscire dalla sandbox.

Descrizione: un problema di danneggiamento della memoria è stato risolto rimuovendo il codice vulnerabile.

CVE-2020-9865: Zhuo Liang di Qihoo 360 Vulcan Team in collaborazione con 360 BugCloud

Crash Reporter

Disponibile per: macOS Catalina 10.15.5

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: si verificava un problema all'interno della logica di convalida dei percorsi per i symlink. Il problema è stato risolto attraverso una migliore sanitizzazione dei percorsi.

CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) del Team Zero-dayits di Legendsec presso Qi'anxin Group

Voce aggiunta il 5 agosto 2020, aggiornata il 17 dicembre 2021

FontParser

Disponibile per: macOS Catalina 10.15.5

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9980: Xingwei Lin di Ant Security Light-Year Lab

Voce aggiunta il 21 settembre 2020, aggiornata il 19 ottobre 2020

Graphics Drivers

Disponibile per: macOS Catalina 10.15.5

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9799: ABC Research s.r.o.

Voce aggiornata il 24 luglio 2020

Heimdal

Disponibile per: macOS Catalina 10.15.5

Impatto: un utente locale può essere in grado di divulgare informazioni sensibili degli utenti.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2020-9913: Cody Thomas di SpecterOps

ImageIO

Disponibile per: macOS Catalina 10.15.5

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27933: Xingwei Lin di Ant-Financial Light-Year Security Lab

Voce aggiunta il 16 marzo 2021

ImageIO

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: in openEXR erano presenti più problemi di overflow del buffer.

Descrizione: diversi problemi in openEXR sono stati risolti attraverso migliori verifiche.

CVE-2020-11758: Xingwei Lin di Ant-Financial Light-Year Security Lab

CVE-2020-11759: Xingwei Lin di Ant-Financial Light-Year Security Lab

CVE-2020-11760: Xingwei Lin di Ant-Financial Light-Year Security Lab

CVE-2020-11761: Xingwei Lin di Ant-Financial Light-Year Security Lab

CVE-2020-11762: Xingwei Lin di Ant-Financial Light-Year Security Lab

CVE-2020-11763: Xingwei Lin di Ant-Financial Light-Year Security Lab

CVE-2020-11764: Xingwei Lin di Ant-Financial Light-Year Security Lab

CVE-2020-11765: Xingwei Lin di Ant-Financial Light-Year Security Lab

Voce aggiunta l'8 settembre 2020

ImageIO

Disponibile per: macOS Catalina 10.15.5

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9871: Xingwei Lin di Ant-Financial Light-Year Security Lab

CVE-2020-9872: Xingwei Lin di Ant-Financial Light-Year Security Lab

CVE-2020-9874: Xingwei Lin di Ant-Financial Light-Year Security Lab

CVE-2020-9879: Xingwei Lin di Ant-Financial Light-Year Security Lab

CVE-2020-9936: Mickey Jin di Trend Micro

CVE-2020-9937: Xingwei Lin di Ant-Financial Light-Year Security Lab

Voce aggiornata il 5 agosto 2020

ImageIO

Disponibile per: macOS Catalina 10.15.5

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9919: Mickey Jin di Trend Micro

Voce aggiunta il 24 luglio 2020

ImageIO

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9876: Mickey Jin di Trend Micro

Voce aggiunta il 24 luglio 2020

ImageIO

Disponibile per: macOS Catalina 10.15.5

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9873: Xingwei Lin di Ant-Financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin di Ant-Financial Light-Year Security Lab

Voce aggiunta il 24 luglio 2020

ImageIO

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9877: Xingwei Lin di Ant-Financial Light-Year Security Lab

Voce aggiunta il 5 agosto 2020

ImageIO

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2020-9875: Mickey Jin di Trend Micro

Voce aggiunta il 5 agosto 2020

ImageIO

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9873: Xingwei Lin di Ant-Financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin di Ant-Financial Light-Year Security Lab

CVE-2020-9984: un ricercatore anonimo

Voce aggiunta il 21 settembre 2020

Image Processing

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: la visualizzazione di un file JPEG pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9887: Mickey Jin di Trend Micro

Voce aggiunta l'8 settembre 2020

Intel Graphics Driver

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9908: Junzhi Lu(@pwn0rz) in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 24 luglio 2020, aggiornata il 31 agosto 2020

Intel Graphics Driver

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta con un'ulteriore convalida.

CVE-2020-9990: ABC Research s.r.l. in collaborazione con Zero Day Initiative di Trend Micro, ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 21 settembre 2020

Intel Graphics Driver

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9921: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 5 agosto 2020

Kernel

Disponibile per: macOS Catalina 10.15.5

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di inserirsi in connessioni attive all'interno di un tunnel VPN.

Descrizione: un problema di instradamento è stato risolto attraverso migliori limitazioni.

CVE-2019-14899: William J. Tolley, Beau Kujath e Jedidiah R. Crandall

Kernel

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9904: Tielei Wang di Pangu Lab

Voce aggiunta il 24 luglio 2020

Kernel

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9924: Matt DeVore di Google

Voce aggiunta il 24 luglio 2020

Kernel

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione dello stato.

CVE-2020-9892: Andy Nguyen di Google

Voce aggiunta il 24 luglio 2020

Kernel

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9863: Xinru Chi di Pangu Lab

Voce aggiornata il 5 agosto 2020

Kernel

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9902: Xinru Chi e Tielei Wang di Pangu Lab

Voce aggiunta il 5 agosto 2020

Kernel

Disponibile per: macOS Catalina 10.15.5

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2020-9905: Raz Mashat (@RazMashat) di ZecOps

Voce aggiunta il 5 agosto 2020

Kernel

Disponibile per: macOS Catalina 10.15.5

Impatto: un'applicazione dannosa può causare la divulgazione della memoria con restrizioni.

Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9997: Catalin Valeriu Lita di SecurityScorecard

Voce aggiunta il 21 settembre 2020

libxml2

Disponibile per: macOS Catalina 10.15.5

Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9926: rilevato da OSS-Fuzz

Voce aggiunta il 16 marzo 2021

libxpc

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: un'applicazione dannosa può sovrascrivere file arbitrari.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2020-9994: Apple

Voce aggiunta il 21 settembre 2020

Login Window

Disponibile per: macOS Catalina 10.15.5

Impatto: un utente può accedere inaspettatamente all'account di un altro utente.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9935: un ricercatore anonimo

Voce aggiunta il 21 settembre 2020

Mail

Disponibile per: macOS Catalina 10.15.5

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2019-19906

Voce aggiunta il 24 luglio 2020, aggiornata l'8 settembre 2020

Mail

Disponibile per: macOS Catalina 10.15.5

Impatto: un server di posta dannoso può sovrascrivere file di posta arbitrari.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2020-9920: YongYue Wang (alias BigChan) di Hillstone Networks AF Team

Voce aggiunta il 24 luglio 2020

Mail

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: l'elaborazione di un'email dannosa può causare l'esecuzione di file arbitrari.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9922: Mikko Kenttälä (@Turmio_) di SensorFu

Voce aggiunta il 12 novembre 2020

Messages

Disponibile per: macOS Catalina 10.15.5

Impatto: un utente rimosso da un gruppo iMessage poteva riunirsi al gruppo.

Descrizione: si verificava un problema nella gestione dei Tapback di iMessage. Il problema è stato risolto con una verifica aggiuntiva.

CVE-2020-9885: un ricercatore anonimo e Suryansh Mansharamani di WWP High School North (medium.com/@suryanshmansha)

Model I/O

Disponibile per: macOS Catalina 10.15.5

Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9878: Holger Fuhrmannek di Deutsche Telekom Security

Model I/O

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2020-9880: Holger Fuhrmannek di Deutsche Telekom Security

Voce aggiunta il 24 luglio 2020, aggiornata il 21 settembre 2020

Model I/O

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9878: Aleksandar Nikolic di Cisco Talos, Holger Fuhrmannek di Deutsche Telekom Security

CVE-2020-9881: Holger Fuhrmannek di Deutsche Telekom Security

CVE-2020-9882: Holger Fuhrmannek di Deutsche Telekom Security

CVE-2020-9940: Holger Fuhrmannek di Deutsche Telekom Security

CVE-2020-9985: Holger Fuhrmannek di Deutsche Telekom Security

Voce aggiunta il 24 luglio 2020, aggiornata il 21 settembre 2020

OpenLDAP

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-12243

Voce aggiunta il 21 settembre 2020

Perl

Disponibile per: macOS Catalina 10.15.5

Impatto: un overflow dei numeri interi del compiler di espressioni regolari Perl potrebbe permettere a un utente malintenzionato di inserire istruzioni nel modulo compilato di un'espressione regolare.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-10878: Hugo van der Sanden e Slaven Rezic

Voce aggiunta il 16 marzo 2021

Perl

Disponibile per: macOS Catalina 10.15.5

Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-12723: Sergey Aleynikov

Voce aggiunta il 16 marzo 2021

rsync

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: un utente malintenzionato collegato in remoto può essere in grado di sovrascrivere i file esistenti.

Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2014-9512: gaojianfeng

Voce aggiunta il 24 luglio 2020

Sandbox

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9930: Zhiyi Zhang del Codesafe Team di Legendsec presso Qi'anxin Group

Voce aggiunta il 15 dicembre 2020

Sandbox

Disponibile per: macOS Catalina 10.15.5

Impatto: un utente locale può essere in grado di caricare estensioni del kernel non firmate.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-9939: @jinmo123, @setuid0x0_ e @insu_yun_en di @SSLab_Gatech in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 5 agosto 2020

Security

Disponibile per: macOS Catalina 10.15.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2020-9864: Alexander Holodny

Security

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: un utente malintenzionato può essere stato in grado di impersonare un sito web attendibile utilizzando materiale chiave condiviso per un certificato aggiunto dall'amministratore.

Descrizione: si verificava un problema di convalida dei certificati durante l'elaborazione dei certificati aggiunti dall'amministratore. Questo problema è stato risolto attraverso una migliore convalida dei certificati.

CVE-2020-9868: Brian Wolff di Asana

Voce aggiunta il 24 luglio 2020

Security

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2020-9854: Ilias Morad (A2nkF)

Voce aggiunta il 24 luglio 2020

sysdiagnose

Disponibile per: macOS Catalina 10.15.5

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: si verificava un problema all'interno della logica di convalida dei percorsi per i symlink. Il problema è stato risolto attraverso una migliore sanitizzazione dei percorsi.

CVE-2020-9901: Tim Michaud (@TimGMichaud) di Leviathan, Zhongcheng Li (CK01) del Team Zero-dayits di Legendsec presso Qi'anxin Group

Voce aggiunta il 5 agosto 2020, aggiornata il 31 agosto 2020

Vim

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-20807: Guilherme de Almeida Suckevicz

WebDAV

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.

CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)

Voce aggiunta l'8 settembre 2020

Wi-Fi

Disponibile per: macOS Catalina 10.15.5

Impatto: un utente malintenzionato collegato in remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9918: Jianjun Dai di 360 Alpha Lab in collaborazione con 360 BugCloud (bugcloud.360.cn)

Wi-Fi

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9899: Yu Wang di Didi Research America

Voce aggiunta il 24 luglio 2020

Wi-Fi

Disponibile per: macOS Catalina 10.15.5

Impatto: un utente malintenzionato collegato in remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9906: Ian Beer di Google Project Zero

Voce aggiunta il 24 luglio 2020

Altri riconoscimenti

CoreFoundation

Ringraziamo Bobby Pelletier per l'assistenza.

Voce aggiunta l'8 settembre 2020

ImageIO

Ringraziamo Xingwei Lin di Ant-Financial Light-Year Security Lab per l'assistenza.

Voce aggiunta il 21 settembre 2020

Siri

Ringraziamo Yuval Ron, Amichai Shulman ed Eli Biham del Technion - Israel Institute of Technology per l'assistenza.

Voce aggiunta il 5 agosto 2020

USB Audio

Ringraziamo Andy Davis di NCC Group per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: