Informazioni sui contenuti di sicurezza di macOS Big Sur 11.0.1

In questo documento vengono descritti i contenuti di sicurezza di macOS Big Sur 11.0.1.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Big Sur 11.0.1

Data di rilascio: 12 novembre 2020

AMD

Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27914: Yu Wang di Didi Research America

CVE-2020-27915: Yu Wang di Didi Research America

Voce aggiunta il 14 dicembre 2020

App Store

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2020-27903: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab

Audio

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27910: JunDong Xie e XingWei Lin di Ant Security Light-Year Lab

Audio

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27916: JunDong Xie di Ant Security Light-Year Lab

Audio

Impatto: un'applicazione dannosa può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9943: JunDong Xie di Ant Group Light-Year Security Lab

Audio

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9944: JunDong Xie di Ant Group Light-Year Security Lab

Bluetooth

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o il danneggiamento dell'heap

Descrizione: più overflow di numeri interi sono stati risolti attraverso una migliore convalida dell'input.

CVE-2020-27906: Zuozhi Fan (@pattern_F_) di Ant Group Tianqiong Security Lab

CFNetwork Cache

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27945: Zhuo Liang del Vulcan Team di Qihoo 360

Voce aggiunta il 16 marzo 2021

CoreAudio

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27908: JunDong Xie e Xingwei Lin di Ant Security Light-Year Lab

CVE-2020-27909: anonimo in collaborazione con Zero Day Initiative di Trend Micro, JunDong Xie e Xingwei Lin di Ant Security Light-Year Lab

CVE-2020-9960: JunDong Xie e Xingwei Lin di Ant Security Light-Year Lab

Voce aggiunta il 14 dicembre 2020

CoreAudio

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-10017: Francis in collaborazione con Zero Day Initiative di Trend Micro, JunDong Xie di Ant Security Light-Year Lab

CoreCapture

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9949: Proteas

CoreGraphics

Impatto: l'elaborazione di un PDF dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9897: S.Y. di ZecOps Mobile XDR, un ricercatore anonimo

Voce aggiunta il 25 ottobre 2021

CoreGraphics

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9883: un ricercatore anonimo, Mickey Jin di Trend Micro

Crash Reporter

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: si verificava un problema all'interno della logica di convalida dei percorsi per i symlink. Il problema è stato risolto attraverso una migliore sanitizzazione dei percorsi.

CVE-2020-10003: Tim Michaud (@TimGMichaud) di Leviathan

CoreText

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-27922: Mickey Jin di Trend Micro

Voce aggiunta il 14 dicembre 2020

CoreText

Impatto: l'elaborazione di un file di testo dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9999: Apple

Voce aggiornata il 14 dicembre 2020

Directory Utility

Impatto: un'applicazione dannosa può accedere a informazioni private.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-27937: Wojciech Reguła (@_r3ggi) di SecuRing

Voce aggiunta il 16 marzo 2021

Disk Images

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Finder

Impatto: gli utenti potrebbero non essere in grado di rimuovere i metadati che indicano da dove sono stati scaricati i file.

Descrizione: il problema è stato risolto attraverso maggiori controlli dell'utente.

CVE-2020-27894: Manuel Trezza di Shuggr (shuggr.com)

FontParser

Impatto: l'elaborazione di un file di testo dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-1790: Peter Nguyen Vu Hoang di STAR Labs

Voce aggiunta il 25 maggio 2022

FontParser

Impatto: l'elaborazione di un font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2021-1775: Mickey Jin e Qi Sun di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 25 ottobre 2021

FontParser

Impatto: un'applicazione dannosa può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-29629: un ricercatore anonimo

Voce aggiunta il 25 ottobre 2021

FontParser

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-27942: un ricercatore anonimo

Voce aggiunta il 25 ottobre 2021

FontParser

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Voce aggiunta il 14 dicembre 2020

FontParser

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27952: un ricercatore anonimo, Mickey Jin e Junzhi Lu di Trend Micro

Voce aggiunta il 14 dicembre 2020

FontParser

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9956: Mickey Jin e Junzhi Lu di Trend Micro Mobile Security Research Team in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 14 dicembre 2020

FontParser

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file di font. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27931: Apple

Voce aggiunta il 14 dicembre 2020

FontParser

Impatto: l'elaborazione di un font dannoso può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di segnalazioni sullo sfruttamento di questo problema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27930: Google Project Zero

FontParser

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-27927: Xingwei Lin di Ant Security Light-Year Lab

FontParser

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-29639: Mickey Jin e Qi Sun di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 21 luglio 2021

Foundation

Impatto: un utente collegato in locale può essere in grado di leggere file arbitrari.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-10002: James Hutchins

HomeKit

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete potrebbe alterare inaspettatamente lo stato dell'applicazione.

Descrizione: questo problema è stato risolto attraverso una migliore propagazione delle impostazioni.

CVE-2020-9978: Luyi Xing, Dongfang Zhao e Xiaofeng Wang dell'Indiana University Bloomington, Yan Jia della Xidian University e della University of Chinese Academy of Sciences e Bin Yuan della HuaZhong University of Science and Technology

Voce aggiunta il 14 dicembre 2020

ImageIO

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9955: Mickey Jin di Trend Micro, Xingwei Lin di Ant Security Light-Year Lab

Voce aggiunta il 14 dicembre 2020

ImageIO

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27924: Lei Sun

Voce aggiunta il 14 dicembre 2020

ImageIO

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27912: Xingwei Lin di Ant Security Light-Year Lab

CVE-2020-27923: Lei Sun

Voce aggiornata il 14 dicembre 2020

ImageIO

Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9876: Mickey Jin di Trend Micro

Intel Graphics Driver

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-10015: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro

CVE-2020-27897: Xiaolong Bai e Min (Spark) Zheng di Alibaba Inc. e Luyi Xing dell'Indiana University Bloomington

Voce aggiunta il 14 dicembre 2020

Intel Graphics Driver

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-27907: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro, Liu Long di Ant Security Light-Year Lab

Voce aggiunta il 14 dicembre 2020 e aggiornata il 16 marzo 2021

Image Processing

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27919: Hou JingYi (@hjy79425575) di Qihoo 360 CERT, Xingwei Lin di Ant Security Light-Year Lab

Voce aggiunta il 14 dicembre 2020

Kernel

Impatto: un utente malintenzionato collegato in remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Voce aggiunta il 14 dicembre 2020

Kernel

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9975: Tielei Wang di Pangu Lab

Voce aggiunta il 14 dicembre 2020

Kernel

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2020-27921: Linus Henze (pinauten.de)

Voce aggiunta il 14 dicembre 2020

Kernel

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: si verificava un problema logico che provocava il danneggiamento della memoria. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-27904: Zuozhi Fan (@pattern_F_) di Ant Group Tianqong Security Lab

Kernel

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di inserirsi in connessioni attive all'interno di un tunnel VPN.

Descrizione: un problema di instradamento è stato risolto attraverso migliori limitazioni.

CVE-2019-14899: William J. Tolley, Beau Kujath e Jedidiah R. Crandall

Kernel

Impatto: un'applicazione dannosa può rivelare la memoria kernel. Apple è a conoscenza di segnalazioni sullo sfruttamento di questo problema.

Descrizione: è stato risolto un problema di inizializzazione della memoria.

CVE-2020-27950: Google Project Zero

Kernel

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-10016: Alex Helie

Kernel

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel. Apple è a conoscenza di segnalazioni sullo sfruttamento di questo problema.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-27932: Google Project Zero

libxml2

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-27917: rilevato da OSS-Fuzz

CVE-2020-27920: rilevato da OSS-Fuzz

Voce aggiornata il 14 dicembre 2020

libxml2

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2020-27911: rilevato da OSS-Fuzz

libxpc

Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2020-9971: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab

Voce aggiunta il 14 dicembre 2020

libxpc

Impatto: un'applicazione dannosa potrebbe essere in grado di uscire dalla sandbox.

Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.

CVE-2020-10014: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab

Logging

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2020-10010: Tommy Muir (@Muirey03)

Mail

Impatto: un utente malintenzionato collegato da remoto potrebbe alterare inaspettatamente lo stato dell'applicazione.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-9941: Fabian Ising della FH Münster University of Applied Sciences e Damian Poddebniak della FH Münster University of Applied Sciences

Messages

Impatto: un utente locale può essere in grado di scoprire i messaggi eliminati di un utente.

Descrizione: il problema è stato risolto con una migliore eliminazione.

CVE-2020-9988: William Breuer dei Paesi Bassi

CVE-2020-9989: von Brunn Media

Model I/O

Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-10011: Aleksandar Nikolic di Cisco Talos

Voce aggiunta il 14 dicembre 2020

Model I/O

Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-13524: Aleksandar Nikolic di Cisco Talos

Model I/O

Impatto: l'apertura di un file dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-10004: Aleksandar Nikolic di Cisco Talos

NetworkExtension

Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9996: Zhiwei Yuan dell'iCore Team di Trend Micro, Junzhi Lu e Mickey Jin di Trend Micro

NSRemoteView

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2020-27901: Thijs Alkemade della Research Division di Computest

Voce aggiunta il 14 dicembre 2020

NSRemoteView

Impatto: un'applicazione dannosa può riuscire a eseguire l'anteprima dei file ai quali non ha accesso.

Descrizione: si verifica un problema nella gestione delle istantanee dello schermo. Il problema è stato risolto attraverso una migliore logica dei permessi.

CVE-2020-27900: Thijs Alkemade della Research Division di Computest

PCRE

Impatto: diversi problemi in PCRE.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 8.44.

CVE-2019-20838

CVE-2020-14155

Power Management

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-10007: singi@theori in collaborazione con Zero Day Initiative di Trend Micro

python

Impatto: i cookie appartenenti a un'origine possono essere inviati a un'altra origine.

Descrizione: diversi problemi sono stati risolti attraverso una migliore logica.

CVE-2020-27896: un ricercatore anonimo

Quick Look

Impatto: un'applicazione dannosa può essere in grado di determinare l'esistenza di file sul computer.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache delle icone.

CVE-2020-9963: Csaba Fitzl (@theevilbit) di Offensive Security

Quick Look

Impatto: l'elaborazione di un documento dannoso può causare un attacco di scripting cross-site.

Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.

CVE-2020-10012: Heige del team di KnownSec 404 (knownsec.com) e Bo Qu di Palo Alto Networks (paloaltonetworks.com)

Voce aggiornata il 16 marzo 2021

Ruby

Impatto: un utente malintenzionato collegato in remoto potrebbe modificare il file system.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2020-27896: un ricercatore anonimo

Ruby

Impatto: durante il parsing di determinati documenti JSON, la gemma JSON può essere costretta a creare oggetti arbitrari nel sistema di destinazione.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-10663: Jeremy Evans

Safari

Impatto: l'accesso a un sito web dannoso può causare lo spoofing della barra degli indirizzi.

Descrizione: esisteva un problema di spoofing nella gestione degli URL Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9945: Narendra Bhati di Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati

Safari

Impatto: un'applicazione dannosa può essere in grado di determinare i pannelli aperti di un utente in Safari.

Descrizione: si verificava un problema di convalida nella verifica delle autorizzazioni. Il problema è stato risolto con una migliore convalida delle autorizzazioni del processo.

CVE-2020-9977: Josh Parnham (@joshparnham)

Safari

Impatto: l'accesso a un sito web dannoso può causare lo spoofing della barra degli indirizzi.

Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.

CVE-2020-9942: un ricercatore anonimo, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora) di The City School, PAF Chapter, Ruilin Yang di Tencent Security Xuanwu Lab, YoKo Kho (@YoKoAcc) di PT Telekomunikasi Indonesia (Persero) Tbk, Zhiyang Zeng (@Wester) di OPPO ZIWU Security Lab

Safari

Impatto: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.

Descrizione: l'accesso a un sito web pericoloso può causare lo spoofing della barra degli indirizzi.

CVE-2020-9987: Rafay Baloch (cybercitadel.com) di Cyber Citadel

Voce aggiunta il 21 luglio 2021

Sandbox

Impatto: un'applicazione locale può essere in grado di enumerare i documenti iCloud dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.

CVE-2021-1803: Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 16 marzo 2021

Sandbox

Impatto: un utente locale può essere in grado di visualizzare informazioni sensibili degli utenti.

Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.

CVE-2020-9969: Wojciech Reguła di SecuRing (wojciechregula.blog)

Screen Sharing

Impatto: un utente con accesso alla condivisione dello schermo può visualizzare lo schermo di un altro utente.

Descrizione: si verificava un problema di condivisione dello schermo. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-27893: pcsgomes

Voce aggiunta il 16 marzo 2021

Siri

Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di accedere ai contatti dalla schermata di blocco.

Descrizione: un problema della schermata di blocco consentiva l'accesso ai contatti su un dispositivo bloccato. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1755: Yuval Ron, Amichai Shulman ed Eli Biham di Technion – Israel Institute of Technology

Voce aggiunta il 16 marzo 2021

smbx

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di causare una negazione del servizio.

Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-10005: Apple

Voce aggiunta il 25 ottobre 2021

SQLite

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-9991

SQLite

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9849

SQLite

Impatto: diversi problemi presenti in SQLite.

Descrizione: diversi problemi sono stati risolti attraverso migliori verifiche.

CVE-2020-15358

SQLite

Impatto: una query SQL dannosa può causare un danneggiamento dei dati.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-13631

SQLite

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

SQLite

Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-13630

Symptom Framework

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-27899: 08Tc3wBB in collaborazione con ZecOps

Voce aggiunta il 14 dicembre 2020

System Preferences

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-10009: Thijs Alkemade della Research Division di Computest

TCC

Impatto: un'applicazione dannosa con privilegi root può accedere a informazioni private

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2020-10008: Wojciech Reguła di SecuRing (wojciechregula.blog)

Voce aggiunta il 14 dicembre 2020

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-27918: Liu Long di Ant Security Light-Year Lab

Voce aggiornata il 14 dicembre 2020

WebKit

Impatto: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

Descrizione: l'elaborazione di un contenuto web dannoso può causare l'esecuzione di codice arbitrario.

CVE-2020-9947: cc in collaborazione con Zero Day Initiative di Trend Micro

CVE-2020-9950: cc in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 21 luglio 2021

Wi-Fi

Impatto: un utente malintenzionato potrebbe riuscire a bypassare la protezione del frame gestito.

Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-27898: Stephan Marais della University of Johannesburg

XNU

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: diversi problemi sono stati risolti attraverso una migliore logica.

CVE-2020-27935: Lior Halphon (@LIJI32)

Voce aggiunta il 17 dicembre 2020

Xsan

Impatto: un'applicazione dannosa può accedere a file con restrizioni.

Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.

CVE-2020-10006: Wojciech Reguła (@_r3ggi) di SecuRing

Altri riconoscimenti

802.1X

Ringraziamo Kenana Dalle di Hamad bin Khalifa University e Ryan Riley di Carnegie Mellon University in Qatar per l'assistenza.

Voce aggiunta il 14 dicembre 2020

Audio

Ringraziamo JunDong Xie e Xingwei Lin di Ant-financial Light-Year Security Lab e Marc Schoenefeld Dr. rer. nat. per l'assistenza.

Voce aggiornata il 16 marzo 2021

Bluetooth

Ringraziamo Andy Davis di NCC Group e Dennis Heinze (@ttdennis) di TU Darmstadt, Secure Mobile Networking Lab per l'assistenza.

Voce aggiornata il 14 dicembre 2020

Clang

Ringraziamo Brandon Azad di Google Project Zero per l'assistenza.

Core Location

Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.

Crash Reporter

Ringraziamo Artur Byszko di AFINE per l'assistenza.

Voce aggiunta il 14 dicembre 2020

Directory Utility

Ringraziamo Wojciech Reguła (@_r3ggi) di SecuRing per l'assistenza.

iAP

Ringraziamo Andy Davis di NCC Group per l'assistenza.

Kernel

Ringraziamo Brandon Azad di Google Project Zero e Stephen Röttger di Google per l'assistenza.

libxml2

Ringraziamo un ricercatore anonimo per l'assistenza.

Voce aggiunta il 14 dicembre 2020

Login Window

Ringraziamo Rob Morton di Leidos per l'assistenza.

Voce aggiunta il 16 marzo 2021

Login Window

Ringraziamo Rob Morton di Leidos per l'assistenza.

Photos Storage

Ringraziamo Paulos Yibelo di LimeHats per l'assistenza.

Quick Look

Ringraziamo Csaba Fitzl (@theevilbit) e Wojciech Reguła di SecuRing (wojciechregula.blog) per l'assistenza.

Safari

Ringraziamo Gabriel Corona e Narendra Bhati di Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati per l'assistenza.

Security

Ringraziamo Christian Starkjohann di Objective Development Software GmbH per l'assistenza.

System Preferences

Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.

Voce aggiunta il 16 marzo 2021

System Preferences

Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.

WebKit

Maximilian Blochberger di Security in Distributed Systems Group, Università di Amburgo

Voce aggiunta il 25 maggio 2022

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 1 giugno 2022