Informazioni sui contenuti di sicurezza di macOS Big Sur 11.1, sull'aggiornamento di sicurezza 2020-001 per macOS Catalina e sull'aggiornamento di sicurezza 2020-007 per macOS Mojave

In questo documento vengono descritti i contenuti di sicurezza di macOS Big Sur 11.1, dell'aggiornamento di sicurezza 2020-001 per macOS Catalina e dell'aggiornamento di sicurezza 2020-007 per macOS Mojave.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina relativa agli aggiornamenti di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano i CVE-ID per indicare la vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Big Sur 11.1, aggiornamento di sicurezza 2020-001 per macOS Catalina e aggiornamento di sicurezza 2020-007 per macOS Mojave

AMD

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27914: Yu Wang di Didi Research America

CVE-2020-27915: Yu Wang di Didi Research America

AMD

Disponibile per: macOS Big Sur 11.0.1

Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.

Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27936: Yu Wang di Didi Research America

App Store

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2020-27903: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab

AppleGraphicsControl

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2020-27941: shrek_wzw

AppleMobileFileIntegrity

Disponibile per: macOS Big Sur 11.0.1

Impatto: un'applicazione dannosa può essere in grado di bypassare le preferenze sulla privacy.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-29621: Wojciech Reguła (@_r3ggi) di SecuRing

Audio

Disponibile per: macOS Big Sur 11.0.1

Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-29610: anonimo in collaborazione con Zero Day Initiative di Trend Micro

Audio

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27910: JunDong Xie e XingWei Lin di Ant Security Light-Year Lab

Audio

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un'applicazione dannosa può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9943: JunDong Xie di Ant Security Light-Year Lab

Audio

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9944: JunDong Xie di Ant Security Light-Year Lab

Audio

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27916: JunDong Xie di Ant Security Light-Year Lab

Bluetooth

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o il danneggiamento dell'heap

Descrizione: più overflow di numeri interi sono stati risolti attraverso una migliore convalida dell'input.

CVE-2020-27906: Zuozhi Fan (@pattern_F_) di Ant Group Tianqiong Security Lab

CoreAudio

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-27948: JunDong Xie di Ant Security Light-Year Lab

CoreAudio

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27908: anonimo in collaborazione con Zero Day Initiative di Trend Micro, JunDong Xie e Xingwei Lin di Ant Security Light-Year Lab

CVE-2020-9960: JunDong Xie e Xingwei Lin di Ant Security Light-Year Lab

CoreAudio

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-10017: Francis in collaborazione con Zero Day Initiative di Trend Micro, JunDong Xie di Ant Security Light-Year Lab

CoreText

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-27922: Mickey Jin di Trend Micro

CUPS

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un'applicazione dannosa può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-10001: Niky

FontParser

Disponibile per: macOS Big Sur 11.0.1

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-27946: Mateusz Jurczyk di Google Project Zero

FontParser

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

FontParser

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27952: un ricercatore anonimo, Mickey Jin e Junzhi Lu di Trend Micro

FontParser

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9956: Mickey Jin e Junzhi Lu di Trend Micro Mobile Security Research Team in collaborazione con Zero Day Initiative di Trend Micro

FontParser

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria nell'elaborazione dei file di font. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27931: Apple

CVE-2020-27943: Mateusz Jurczyk di Google Project Zero

CVE-2020-27944: Mateusz Jurczyk di Google Project Zero

CVE-2020-29624: Mateusz Jurczyk di Google Project Zero

FontParser

Disponibile per: macOS Big Sur 11.0.1

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-29608: Xingwei Lin di Ant Security Light-Year Lab

Foundation

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un utente collegato in locale può essere in grado di leggere file arbitrari.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-10002: James Hutchins

Graphics Drivers

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27947: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro, Liu Long di Ant Security Light-Year Lab

Graphics Drivers

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-29612: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro

HomeKit

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può alterare inaspettatamente lo stato dell'applicazione.

Descrizione: questo problema è stato risolto attraverso una migliore propagazione delle impostazioni.

CVE-2020-9978: Luyi Xing, Dongfang Zhao e Xiaofeng Wang dell'Indiana University Bloomington, Yan Jia della Xidian University e della University of Chinese Academy of Sciences e Bin Yuan della HuaZhong University of Science and Technology

ImageIO

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-27939: Xingwei Lin di Ant Security Light-Year Lab

CVE-2020-29625: Xingwei Lin di Ant Security Light-Year Lab

ImageIO

Disponibile per: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impatto: l'elaborazione di un'immagine pericolosa può causare l'interruzione del servizio.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-29615: Xingwei Lin di Ant Security Light-Year Lab

ImageIO

Disponibile per: macOS Big Sur 11.0.1

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-29616: singi@theori in collaborazione con Zero Day Initiative di Trend Micro

ImageIO

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27924: Lei Sun

CVE-2020-29618: Xingwei Lin di Ant Security Light-Year Lab

ImageIO

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-29611: Alexandru-Vlad Niculae in collaborazione con Google Project Zero

ImageIO

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impatto: l'elaborazione di un'immagine dannosa può causare un danno alla memoria heap.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-29617: Xingwei Lin di Ant Security Light-Year Lab

CVE-2020-29619: Xingwei Lin di Ant Security Light-Year Lab

ImageIO

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27912: Xingwei Lin di Ant Security Light-Year Lab

CVE-2020-27923: Lei Sun

Image Processing

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27919: Hou JingYi (@hjy79425575) di Qihoo 360 CERT, Xingwei Lin di Ant Security Light-Year Lab

Intel Graphics Driver

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-10015: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro

CVE-2020-27897: Xiaolong Bai e Min (Spark) Zheng di Alibaba Inc. e Luyi Xing dell'Indiana University Bloomington

Intel Graphics Driver

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-27907: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro, Liu Long di Ant Security Light-Year Lab

Kernel

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-10016: Alex Helie

Kernel

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un utente malintenzionato collegato in remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Kernel

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9975: Tielei Wang di Pangu Lab

Kernel

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2020-27921: Linus Henze (pinauten.de)

Kernel

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impatto: un'applicazione dannosa potrebbe causare cambiamenti imprevisti nella memoria appartenente ai processi tracciati da DTrace.

Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.

CVE-2020-27949: Steffen Klee (@_kleest) di TU Darmstadt, Secure Mobile Networking Lab

Kernel

Disponibile per: macOS Big Sur 11.0.1

Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.

Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.

CVE-2020-29620: Csaba Fitzl (@theevilbit) di Offensive Security

libxml2

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2020-27911: rilevato da OSS-Fuzz

libxml2

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-27920: rilevato da OSS-Fuzz

libxml2

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-27926: rilevato da OSS-Fuzz

libxpc

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un'applicazione dannosa potrebbe essere in grado di uscire dalla sandbox.

Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.

CVE-2020-10014: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab

Logging

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2020-10010: Tommy Muir (@Muirey03)

Login Window

Disponibile per: macOS Big Sur 11.0.1

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete potrebbe riuscire a bypassare le politiche di autenticazione.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-29633: Jewel Lambert di Original Spin, LLC.

Model I/O

Disponibile per: macOS Big Sur 11.0.1

Impatto: l'elaborazione di un file dannoso può danneggiare la memoria heap.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-29614: ZhiWei Sun(@5n1p3r0010) dal Topsec Alpha Lab

Model I/O

Disponibile per: macOS Catalina 10.15.7

Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-13520: Aleksandar Nikolic di Cisco Talos

Model I/O

Disponibile per: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9972: Aleksandar Nikolic di Cisco Talos

Model I/O

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-13524: Aleksandar Nikolic di Cisco Talos

Model I/O

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: l'apertura di un file dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-10004: Aleksandar Nikolic di Cisco Talos

NSRemoteView

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2020-27901: Thijs Alkemade della Research Division di Computest

Power Management

Disponibile per: macOS Big Sur 11.0.1

Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-27938: Tim Michaud (@TimGMichaud) di Leviathan

Power Management

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-10007: singi@theori in collaborazione con Zero Day Initiative di Trend Micro

Quick Look

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: l'elaborazione di un documento dannoso può causare un attacco di scripting cross-site.

Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.

CVE-2020-10012: Heige del team di KnownSec 404 (knownsec.com) e Bo Qu di Palo Alto Networks (paloaltonetworks.com)

Ruby

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un utente malintenzionato collegato in remoto potrebbe modificare il file system.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2020-27896: un ricercatore anonimo

System Preferences

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-10009: Thijs Alkemade della Research Division di Computest

WebKit Storage

Disponibile per: macOS Big Sur 11.0.1

Impatto: un utente potrebbe non essere in grado di eliminare completamente la cronologia di navigazione.

Descrizione: “Cancella dati siti web e cronologia” non cancellava la cronologia. Il problema è stato risolto attraverso una migliore eliminazione dei dati.

CVE-2020-29623: Simon Hunt di OvalTwo LTD

WebRTC

Disponibile per: macOS Big Sur 11.0.1

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-15969: un ricercatore anonimo

Wi-Fi

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un utente malintenzionato potrebbe riuscire a bypassare la protezione del frame gestito.

Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-27898: Stephan Marais della University of Johannesburg

Altri riconoscimenti

CoreAudio

Ringraziamo JunDong Xie e Xingwei Lin di Ant Security Light-Year Lab per l'assistenza.