Informazioni sui contenuti di sicurezza di macOS Big Sur 11.0.1
In questo documento vengono descritti i contenuti di sicurezza di macOS Big Sur 11.0.1.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Big Sur 11.0.1
AMD
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-27914: Yu Wang di Didi Research America
CVE-2020-27915: Yu Wang di Didi Research America
App Store
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2020-27903: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab
Audio
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-27910: JunDong Xie e XingWei Lin di Ant Security Light-Year Lab
Audio
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-27916: JunDong Xie di Ant Security Light-Year Lab
Audio
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione dannosa può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-9943: JunDong Xie di Ant Group Light-Year Security Lab
Audio
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-9944: JunDong Xie di Ant Group Light-Year Security Lab
Bluetooth
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o il danneggiamento dell'heap
Descrizione: più overflow di numeri interi sono stati risolti attraverso una migliore convalida dell'input.
CVE-2020-27906: Zuozhi Fan (@pattern_F_) di Ant Group Tianqiong Security Lab
CFNetwork Cache
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-27945: Zhuo Liang del Vulcan Team di Qihoo 360
CoreAudio
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-27908: JunDong Xie e Xingwei Lin di Ant Security Light-Year Lab
CVE-2020-27909: anonimo in collaborazione con Zero Day Initiative di Trend Micro, JunDong Xie e Xingwei Lin di Ant Security Light-Year Lab
CVE-2020-9960: JunDong Xie e Xingwei Lin di Ant Security Light-Year Lab
CoreAudio
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-10017: Francis in collaborazione con Zero Day Initiative di Trend Micro, JunDong Xie di Ant Security Light-Year Lab
CoreCapture
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-9949: Proteas
CoreGraphics
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un PDF dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-9897: S.Y. di ZecOps Mobile XDR, un ricercatore anonimo
CoreGraphics
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-9883: un ricercatore anonimo, Mickey Jin di Trend Micro
Crash Reporter
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: si verificava un problema all'interno della logica di convalida dei percorsi per i symlink. Il problema è stato risolto attraverso una migliore sanitizzazione dei percorsi.
CVE-2020-10003: Tim Michaud (@TimGMichaud) di Leviathan
CoreText
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-27922: Mickey Jin di Trend Micro
CoreText
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un file di testo dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-9999: Apple
Directory Utility
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione dannosa può accedere a informazioni private.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-27937: Wojciech Reguła (@_r3ggi) di SecuRing
Disk Images
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-9965: Proteas
CVE-2020-9966: Proteas
Finder
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: gli utenti potrebbero non essere in grado di rimuovere i metadati che indicano da dove sono stati scaricati i file.
Descrizione: il problema è stato risolto attraverso maggiori controlli dell'utente.
CVE-2020-27894: Manuel Trezza di Shuggr (shuggr.com)
FontParser
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-36615: Peter Nguyen Hoang Vu (@peternguyen14) di STAR Labs
FontParser
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un file di testo dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-1790: Peter Nguyen Vu Hoang di STAR Labs
FontParser
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2021-1775: Mickey Jin e Qi Sun di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro
FontParser
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione dannosa può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-29629: un ricercatore anonimo
FontParser
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-27942: un ricercatore anonimo
FontParser
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.
CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)
FontParser
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-27952: un ricercatore anonimo, Mickey Jin e Junzhi Lu di Trend Micro
FontParser
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-9956: Mickey Jin e Junzhi Lu di Trend Micro Mobile Security Research Team in collaborazione con Zero Day Initiative di Trend Micro
FontParser
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria nell'elaborazione dei file di font. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-27931: Apple
FontParser
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un font dannoso può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di segnalazioni sullo sfruttamento di questo problema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-27930: Google Project Zero
FontParser
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-27927: Xingwei Lin di Ant Security Light-Year Lab
FontParser
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-29639: Mickey Jin e Qi Sun di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro
Foundation
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un utente collegato in locale può essere in grado di leggere file arbitrari.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-10002: James Hutchins
HomeKit
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può alterare inaspettatamente lo stato dell'applicazione.
Descrizione: questo problema è stato risolto attraverso una migliore propagazione delle impostazioni.
CVE-2020-9978: Luyi Xing, Dongfang Zhao e Xiaofeng Wang dell'Indiana University Bloomington, Yan Jia della Xidian University e della University of Chinese Academy of Sciences e Bin Yuan della HuaZhong University of Science and Technology
ImageIO
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-9955: Mickey Jin di Trend Micro, Xingwei Lin di Ant Security Light-Year Lab
ImageIO
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-27924: Lei Sun
ImageIO
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-27912: Xingwei Lin di Ant Security Light-Year Lab
CVE-2020-27923: Lei Sun
ImageIO
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-9876: Mickey Jin di Trend Micro
Intel Graphics Driver
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-10015: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro
CVE-2020-27897: Xiaolong Bai e Min (Spark) Zheng di Alibaba Inc. e Luyi Xing dell'Indiana University Bloomington
Intel Graphics Driver
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-27907: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro, Liu Long di Ant Security Light-Year Lab
Image Processing
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-27919: Hou JingYi (@hjy79425575) di Qihoo 360 CERT, Xingwei Lin di Ant Security Light-Year Lab
Kernel
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un utente malintenzionato collegato in remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.
CVE-2020-9967: Alex Plaskett (@alexjplaskett)
Kernel
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-9975: Tielei Wang di Pangu Lab
Kernel
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2020-27921: Linus Henze (pinauten.de)
Kernel
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: si verificava un problema logico che provocava il danneggiamento della memoria. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-27904: Zuozhi Fan (@pattern_F_) di Ant Group Tianqong Security Lab
Kernel
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di inserirsi in connessioni attive all'interno di un tunnel VPN.
Descrizione: un problema di instradamento è stato risolto attraverso migliori limitazioni.
CVE-2019-14899: William J. Tolley, Beau Kujath e Jedidiah R. Crandall
Kernel
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione dannosa può rivelare la memoria kernel. Apple è a conoscenza di segnalazioni sullo sfruttamento di questo problema.
Descrizione: è stato risolto un problema di inizializzazione della memoria.
CVE-2020-27950: Google Project Zero
Kernel
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-10016: Alex Helie
Kernel
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel. Apple è a conoscenza di segnalazioni sullo sfruttamento di questo problema.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-27932: Google Project Zero
libxml2
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-27917: rilevato da OSS-Fuzz
CVE-2020-27920: rilevato da OSS-Fuzz
libxml2
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2020-27911: rilevato da OSS-Fuzz
libxpc
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2020-9971: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab
libxpc
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione dannosa potrebbe essere in grado di uscire dalla sandbox.
Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.
CVE-2020-10014: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab
Logging
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2020-10010: Tommy Muir (@Muirey03)
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un utente malintenzionato collegato da remoto potrebbe alterare inaspettatamente lo stato dell'applicazione.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-9941: Fabian Ising della FH Münster University of Applied Sciences e Damian Poddebniak della FH Münster University of Applied Sciences
Messages
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un utente locale può essere in grado di scoprire i messaggi eliminati di un utente.
Descrizione: il problema è stato risolto con una migliore eliminazione.
CVE-2020-9988: William Breuer dei Paesi Bassi
CVE-2020-9989: von Brunn Media
Model I/O
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-10011: Aleksandar Nikolic di Cisco Talos
Model I/O
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-13524: Aleksandar Nikolic di Cisco Talos
Model I/O
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'apertura di un file dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-10004: Aleksandar Nikolic di Cisco Talos
NetworkExtension
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-9996: Zhiwei Yuan dell'iCore Team di Trend Micro, Junzhi Lu e Mickey Jin di Trend Micro
NSRemoteView
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2020-27901: Thijs Alkemade della Research Division di Computest
NSRemoteView
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione dannosa può riuscire a eseguire l'anteprima dei file ai quali non ha accesso.
Descrizione: si verifica un problema nella gestione delle istantanee dello schermo. Il problema è stato risolto attraverso una migliore logica dei permessi.
CVE-2020-27900: Thijs Alkemade della Research Division di Computest
PCRE
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: diversi problemi in PCRE.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 8.44.
CVE-2019-20838
CVE-2020-14155
Power Management
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-10007: singi@theori in collaborazione con Zero Day Initiative di Trend Micro
python
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: i cookie appartenenti a un'origine possono essere inviati a un'altra origine.
Descrizione: diversi problemi sono stati risolti attraverso una migliore logica.
CVE-2020-27896: un ricercatore anonimo
Quick Look
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione dannosa può essere in grado di determinare l'esistenza di file sul computer.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache delle icone.
CVE-2020-9963: Csaba Fitzl (@theevilbit) di Offensive Security
Quick Look
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di un documento dannoso può causare un attacco di scripting cross-site.
Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.
CVE-2020-10012: Heige del team di KnownSec 404 (knownsec.com) e Bo Qu di Palo Alto Networks (paloaltonetworks.com)
Ruby
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un utente malintenzionato collegato in remoto potrebbe modificare il file system.
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2020-27896: un ricercatore anonimo
Ruby
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: durante il parsing di determinati documenti JSON, la gemma JSON può essere costretta a creare oggetti arbitrari nel sistema di destinazione.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-10663: Jeremy Evans
Safari
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'accesso a un sito web dannoso può causare lo spoofing della barra degli indirizzi.
Descrizione: esisteva un problema di spoofing nella gestione degli URL Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-9945: Narendra Bhati di Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati
Safari
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione dannosa può essere in grado di determinare i pannelli aperti di un utente in Safari.
Descrizione: si verificava un problema di convalida nella verifica delle autorizzazioni. Il problema è stato risolto con una migliore convalida delle autorizzazioni del processo.
CVE-2020-9977: Josh Parnham (@joshparnham)
Safari
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'accesso a un sito web dannoso può causare lo spoofing della barra degli indirizzi.
Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.
CVE-2020-9942: un ricercatore anonimo, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora) di The City School, PAF Chapter, Ruilin Yang di Tencent Security Xuanwu Lab, YoKo Kho (@YoKoAcc) di PT Telekomunikasi Indonesia (Persero) Tbk, Zhiyang Zeng (@Wester) di OPPO ZIWU Security Lab
Safari
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.
Descrizione: l'accesso a un sito web pericoloso può causare lo spoofing della barra degli indirizzi.
CVE-2020-9987: Rafay Baloch (cybercitadel.com) di Cyber Citadel
Sandbox
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione locale può essere in grado di enumerare i documenti iCloud dell'utente.
Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.
CVE-2021-1803: Csaba Fitzl (@theevilbit) di Offensive Security
Sandbox
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un utente locale può essere in grado di visualizzare informazioni sensibili degli utenti.
Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.
CVE-2020-9969: Wojciech Reguła di SecuRing (wojciechregula.blog)
Screen Sharing
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un utente con accesso alla condivisione dello schermo può visualizzare lo schermo di un altro utente.
Descrizione: si verificava un problema di condivisione dello schermo. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-27893: pcsgomes
Siri
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di accedere ai contatti dalla schermata di blocco.
Descrizione: un problema della schermata di blocco consentiva l'accesso ai contatti su un dispositivo bloccato. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1755: Yuval Ron, Amichai Shulman ed Eli Biham di Technion – Israel Institute of Technology
smbx
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di causare una negazione del servizio.
Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-10005: Apple
SQLite
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-9991
SQLite
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.
Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-9849
SQLite
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: diversi problemi presenti in SQLite.
Descrizione: diversi problemi sono stati risolti attraverso migliori verifiche.
CVE-2020-15358
SQLite
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: una query SQL dannosa può causare un danneggiamento dei dati.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-13631
SQLite
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-13434
CVE-2020-13435
CVE-2020-9991
SQLite
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-13630
Symptom Framework
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-27899: 08Tc3wBB in collaborazione con ZecOps
System Preferences
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-10009: Thijs Alkemade della Research Division di Computest
TCC
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione dannosa con privilegi root può accedere a informazioni private
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2020-10008: Wojciech Reguła di SecuRing (wojciechregula.blog)
WebKit
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-27918: Liu Long di Ant Security Light-Year Lab
WebKit
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
Descrizione: l'elaborazione di un contenuto web dannoso può causare l'esecuzione di codice arbitrario.
CVE-2020-9947: cc in collaborazione con Zero Day Initiative di Trend Micro
CVE-2020-9950: cc in collaborazione con Zero Day Initiative di Trend Micro
Wi-Fi
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un utente malintenzionato potrebbe riuscire a bypassare la protezione del frame gestito.
Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-27898: Stephan Marais della University of Johannesburg
XNU
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: diversi problemi sono stati risolti attraverso una migliore logica.
CVE-2020-27935: Lior Halphon (@LIJI32)
Xsan
Disponibile per: Mac Pro (2013 e successivi), MacBook Air (2013 e successivi), MacBook Pro (fine 2013 e successivi), Mac mini (2014 e successivi), iMac (2014 e successivi), MacBook (2015 e successivi), iMac Pro (tutti i modelli)
Impatto: un'applicazione dannosa può accedere a file con restrizioni.
Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.
CVE-2020-10006: Wojciech Reguła (@_r3ggi) di SecuRing
Altri riconoscimenti
802.1X
Ringraziamo Kenana Dalle di Hamad bin Khalifa University e Ryan Riley di Carnegie Mellon University in Qatar per l'assistenza.
Audio
Ringraziamo JunDong Xie e Xingwei Lin di Ant-financial Light-Year Security Lab e Marc Schoenefeld Dr. rer. nat. per l'assistenza.
Bluetooth
Ringraziamo Andy Davis di NCC Group e Dennis Heinze (@ttdennis) di TU Darmstadt, Secure Mobile Networking Lab per l'assistenza.
Clang
Ringraziamo Brandon Azad di Google Project Zero per l'assistenza.
Core Location
Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.
Crash Reporter
Ringraziamo Artur Byszko di AFINE per l'assistenza.
Directory Utility
Ringraziamo Wojciech Reguła (@_r3ggi) di SecuRing per l'assistenza.
iAP
Ringraziamo Andy Davis di NCC Group per l'assistenza.
Kernel
Ringraziamo Brandon Azad di Google Project Zero e Stephen Röttger di Google per l'assistenza.
libxml2
Ringraziamo un ricercatore anonimo per l'assistenza.
Login Window
Ringraziamo Rob Morton di Leidos per l'assistenza.
Login Window
Ringraziamo Rob Morton di Leidos per l'assistenza.
Photos Storage
Ringraziamo Paulos Yibelo di LimeHats per l'assistenza.
Quick Look
Ringraziamo Csaba Fitzl (@theevilbit) e Wojciech Reguła di SecuRing (wojciechregula.blog) per l'assistenza.
Safari
Ringraziamo Gabriel Corona e Narendra Bhati di Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati per l'assistenza.
Sandbox
Ringraziamo Saagar Jha per l'assistenza.
Security
Ringraziamo Christian Starkjohann di Objective Development Software GmbH per l'assistenza.
System Preferences
Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.
System Preferences
Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.
WebKit
Maximilian Blochberger di Security in Distributed Systems Group, Università di Amburgo
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.