macOS Big Sur 11.0.1의 보안 콘텐츠에 관하여

이 문서에서는 macOS Big Sur 11.0.1의 보안 콘텐츠에 대해 설명합니다.

Apple 보안 업데이트에 관하여

Apple은 고객 보호를 위해 조사를 마치고 패치 또는 출시 버전을 제공할 수 있을 때까지는 보안 문제를 공개하거나, 논의하거나, 확인해 주지 않습니다. 최신 출시 버전은 Apple 보안 업데이트 페이지에 나와 있습니다.

Apple 보안 문서에서는 가능한 경우 취약점을 CVE-ID로 표시합니다.

보안에 대한 자세한 내용은 Apple 제품 보안 페이지를 참조하십시오.

macOS Big Sur 11.0.1

2020년 11월 12일 출시

AMD

대상: Mac Pro(2013년 및 이후 모델), MacBook Air(2013년 및 이후 모델), MacBook Pro(2013년 후반 모델 및 이후 모델), Mac mini(2014년 및 이후 모델), iMac(2014년 및 이후 모델), MacBook(2015년 및 이후 모델), iMac Pro(모든 모델)

영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 메모리 손상 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-27914: Didi Research America의 Yu Wang

CVE-2020-27915: Didi Research America의 Yu Wang

2020년 12월 14일에 추가된 항목

App Store

영향: 응용 프로그램의 권한이 상승될 수 있음

설명: 이 문제는 취약한 코드를 제거하여 해결되었습니다.

CVE-2020-27903: Tencent Security Xuanwu Lab의 Zhipeng Huo(@R3dF09)

Audio

영향: 악의적으로 제작된 오디오 파일을 처리하면 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 읽기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-27910: Ant Security Light-Year Lab의 JunDong Xie 및 XingWei Lin

Audio

영향: 악의적으로 제작된 오디오 파일을 처리하면 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 쓰기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-27916: Ant Security Light-Year Lab의 JunDong Xie

Audio

영향: 악성 응용 프로그램이 제한된 메모리를 읽을 수 있음

설명: 범위를 벗어난 읽기는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2020-9943: Ant Group Light-Year Security Lab의 JunDong Xie

Audio

영향: 응용 프로그램이 제한된 메모리를 읽을 수 있음

설명: 범위를 벗어난 읽기는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2020-9944: Ant Group Light-Year Security Lab의 JunDong Xie

Bluetooth

영향: 원격 공격자가 응용 프로그램을 예기치 않게 종료하거나 힙 손상을 일으킬 수 있음

설명: 여러 정수 오버플로우는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-27906: Ant Group Tianqiong Security Lab의 Zuozhi Fan(@pattern_F_)

CFNetwork Cache

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 임의 코드가 실행될 수 있음

설명: 정수 오버플로우는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-27945: Qihoo 360 Vulcan Team의 Zhuo Liang

2021년 3월 16일에 추가된 항목

CoreAudio

영향: 악의적으로 제작된 오디오 파일을 처리하면 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 읽기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-27908: Ant Security Light-Year Lab의 JunDong Xie 및 Xingwei Lin

CVE-2020-27909: Trend Micro의 Zero Day Initiative에 참여 중인 익명의 연구원, Ant Security Light-Year Lab의 JunDong Xie 및 Xingwei Lin

CVE-2020-9960: Ant Security Light-Year Lab의 JunDong Xie 및 Xingwei Lin

2020년 12월 14일에 추가된 항목

CoreAudio

영향: 악의적으로 제작된 오디오 파일을 처리하면 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 쓰기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-10017: Trend Micro의 Zero Day Initiative에 참여 중인 Francis, Ant Security Light-Year Lab의 JunDong Xie

CoreCapture

영향: 응용 프로그램이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: use-after-free 문제는 향상된 메모리 관리를 통해 해결되었습니다.

CVE-2020-9949: Proteas

CoreGraphics

영향: 악의적으로 생성된 PDF를 처리하면 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 쓰기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-9897: ZecOps Mobile XDR의 S.Y., 익명의 연구원

2021년 10월 25일에 추가된 항목

CoreGraphics

영향: 악의적으로 제작된 이미지를 처리하면 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 쓰기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-9883: 익명의 연구원, Trend Micro의 Mickey Jin

Crash Reporter

영향: 로컬 공격자가 자신의 권한을 높일 수 있음

설명: symlink의 경로 유효성 확인 로직 내에 문제가 발생했으나 이 문제는 향상된 경로 삭제를 통해 해결되었습니다.

CVE-2020-10003: Leviathan의 Tim Michaud(@TimGMichaud)

CoreText

영향: 악의적으로 제작된 서체 파일을 처리하면 임의 코드가 실행될 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-27922: Trend Micro의 Mickey Jin

2020년 12월 14일에 추가된 항목

CoreText

영향: 악의적으로 제작된 텍스트 파일을 처리하면 임의 코드가 실행될 수 있음

설명: 메모리 손상 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-9999: Apple

2020년 12월 14일에 업데이트된 항목

Directory Utility

영향: 악성 응용 프로그램이 개인 정보에 접근할 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-27937: SecuRing의 Wojciech Reguła(@_r3ggi)

2021년 3월 16일에 추가된 항목

Disk Images

영향: 응용 프로그램이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 범위를 벗어난 읽기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Finder

영향: 사용자가 다운로드된 파일의 출처를 나타내는 메타데이터를 제거할 수 없음

설명: 이 문제는 추가적인 사용자 제어를 통해 해결되었습니다.

CVE-2020-27894: Shuggr(shuggr.com)의 Manuel Trezza

FontParser

영향: 악의적으로 제작된 서체를 처리하면 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 읽기는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2020-36615: STAR Labs의 Peter Nguyen Hoang Vu(@peternguyen14)

2023년 5월 11일에 추가된 항목

FontParser

영향: 악의적으로 제작된 텍스트 파일을 처리하면 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 읽기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2021-1790: STAR Labs의 Peter Nguyen Vu Hoang

2022년 5월 25일에 추가된 항목

FontParser

영향: 악의적으로 제작된 서체를 처리하면 임의 코드가 실행될 수 있음

설명: 이 문제는 취약한 코드를 제거하여 해결되었습니다.

CVE-2021-1775: Trend Micro의 Zero Day Initiative에 참여 중인 Trend Micro의 Mickey Jin 및 Qi Sun

2021년 10월 25일에 추가된 항목

FontParser

영향: 악성 응용 프로그램이 제한된 메모리를 읽을 수 있음

설명: 범위를 벗어난 읽기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-29629: 익명의 연구원

2021년 10월 25일에 추가된 항목

FontParser

영향: 악의적으로 제작된 서체 파일을 처리하면 임의 코드가 실행될 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-27942: 익명의 연구원

2021년 10월 25일에 추가된 항목

FontParser

영향: 악의적으로 제작된 이미지를 처리하면 임의 코드가 실행될 수 있음

설명: 버퍼 오버플로우는 향상된 크기 유효성 확인을 통해 해결되었습니다.

CVE-2020-9962: Yiğit Can YILMAZ(@yilmazcanyigit)

2020년 12월 14일에 추가된 항목

FontParser

영향: 악의적으로 제작된 서체 파일을 처리하면 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 쓰기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-27952: 익명의 연구원, Trend Micro의 Mickey Jin 및 Junzhi Lu

2020년 12월 14일에 추가된 항목

FontParser

영향: 악의적으로 제작된 서체 파일을 처리하면 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 읽기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-9956: Trend Micro의 Zero Day Initiative에 참여 중인 Trend Micro Mobile Security Research Team의 Mickey Jin 및 Junzhi Lu

2020년 12월 14일에 추가된 항목

FontParser

영향: 악의적으로 제작된 서체 파일을 처리하면 임의 코드가 실행될 수 있음

설명: 서체 파일을 처리할 때 메모리 손상 문제가 발생했으나 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-27931: Apple

2020년 12월 14일에 추가된 항목

FontParser

영향: 악의적으로 제작된 서체를 처리하면 임의 코드가 실행될 수 있음. Apple은 이 문제가 실제로 악용되었다는 보고를 받았습니다.

설명: 메모리 손상 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-27930: Google Project Zero

FontParser

영향: 악의적으로 제작된 서체 파일을 처리하면 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 쓰기 문제는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2020-27927: Ant Security Light-Year Lab의 Xingwei Lin

FontParser

영향: 악의적으로 제작된 서체를 처리하면 프로세스 메모리가 공개될 수 있음

설명: 범위를 벗어난 읽기는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2020-29639: Trend Micro Zero Day Initiative에 참여 중인 Trend Micro의 Mickey Jin 및 Qi Sun

2021년 7월 21일에 추가된 항목

Foundation

영향: 로컬 사용자가 임의 파일을 읽을 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-10002: James Hutchins

HomeKit

영향: 네트워크에서 권한 있는 위치에 있는 공격자가 응용 프로그램 상태를 예기치 않게 변경할 수 있음

설명: 이 문제는 향상된 설정 전파를 통해 해결되었습니다.

CVE-2020-9978: Indiana University Bloomington의 Luyi Xing, Dongfang Zhao 및 Xiaofeng Wang, Xidian University 및 University of Chinese Academy of Sciences의 Yan Jia, HuaZhong University of Science and Technology의 Bin Yuan

2020년 12월 14일에 추가된 항목

ImageIO

영향: 악의적으로 제작된 이미지를 처리하면 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 쓰기 문제는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2020-9955: Trend Micro의 Mickey Jin, Ant Security Light-Year Lab의 Xingwei Lin

2020년 12월 14일에 추가된 항목

ImageIO

영향: 악의적으로 제작된 이미지를 처리하면 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 읽기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-27924: Lei Sun

2020년 12월 14일에 추가된 항목

ImageIO

영향: 악의적으로 제작된 이미지를 처리하면 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 쓰기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-27912: Ant Security Light-Year Lab의 Xingwei Lin

CVE-2020-27923: Lei Sun

2020년 12월 14일에 업데이트된 항목

ImageIO

영향: 악의적으로 제작된 PDF 파일을 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 쓰기 문제는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2020-9876: Trend Micro의 Mickey Jin

Intel Graphics Driver

영향: 응용 프로그램이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 범위를 벗어난 쓰기 문제는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2020-10015: Trend Micro의 Zero Day Initiative에 참여 중인 ABC Research s.r.o.

CVE-2020-27897: Alibaba Inc.의 Xiaolong Bai와 Min(Spark) Zheng, Indiana University Bloomington의 Luyi Xing

2020년 12월 14일에 추가된 항목

Intel Graphics Driver

영향: 응용 프로그램이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 메모리 손상 문제는 향상된 메모리 처리를 통해 해결되었습니다.

CVE-2020-27907: Trend Micro의 Zero Day Initiative에 참여 중인 ABC Research s.r.o., Ant Security Light-Year Lab의 Liu Long

2020년 12월 14일에 추가되고 2021년 3월 16일에 업데이트된 항목

Image Processing

영향: 악의적으로 제작된 이미지를 처리하면 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 쓰기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-27919: Qihoo 360 CERT의 Hou JingYi(@hjy79425575), Ant Security Light-Year Lab의 Xingwei Lin

2020년 12월 14일에 추가된 항목

Kernel

영향: 원격 공격자가 예기치 않은 시스템 종료를 일으키거나 커널 메모리를 손상시킬 수 있음

설명: 여러 가지 메모리 손상 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-9967: Alex Plaskett(@alexjplaskett)

2020년 12월 14일에 추가된 항목

Kernel

영향: 응용 프로그램이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: use-after-free 문제는 향상된 메모리 관리를 통해 해결되었습니다.

CVE-2020-9975: Pangu Lab의 Tielei Wang

2020년 12월 14일에 추가된 항목

Kernel

영향: 응용 프로그램이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 경합 상태는 향상된 상태 처리를 통해 해결되었습니다.

CVE-2020-27921: Linus Henze(pinauten.de)

2020년 12월 14일에 추가된 항목

Kernel

영향: 응용 프로그램이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 메모리가 손상되는 로직 문제가 발생했으나 이 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-27904: Ant Group Tianqong Security Lab의 Zuozhi Fan(@pattern_F_)

Kernel

영향: 권한 있는 네트워크 위치의 공격자가 VPN 터널 내의 활성화된 연결에 침입할 수 있음

설명: 라우팅 문제는 향상된 제한 조치를 통해 해결되었습니다.

CVE-2019-14899: William J. Tolley, Beau Kujath 및 Jedidiah R. Crandall

Kernel

영향: 악성 응용 프로그램이 커널 메모리를 공개할 수 있음. Apple은 이 문제가 실제로 악용되었다는 보고를 받았습니다.

설명: 메모리 초기화 문제는 해결되었습니다.

CVE-2020-27950: Google Project Zero

Kernel

영향: 악성 응용 프로그램이 커널 메모리 레이아웃을 확인할 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-9974: Tommy Muir(@Muirey03)

Kernel

영향: 응용 프로그램이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 메모리 손상 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-10016: Alex Helie

Kernel

영향: 악성 응용 프로그램이 커널 권한을 사용하여 임의 코드를 실행할 수 있음. Apple은 이 문제가 실제로 악용되었다는 보고를 받았습니다.

설명: 유형 혼동 문제는 향상된 상태 처리를 통해 해결되었습니다.

CVE-2020-27932: Google Project Zero

libxml2

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 코드가 실행될 수 있음

설명: use-after-free 문제는 향상된 메모리 관리를 통해 해결되었습니다.

CVE-2020-27917: OSS-Fuzz에서 발견함

CVE-2020-27920: OSS-Fuzz에서 발견함

2020년 12월 14일에 업데이트된 항목

libxml2

영향: 원격 공격자가 응용 프로그램을 예기치 않게 종료하거나 임의 코드를 실행할 수 있음

설명: 정수 오버플로우는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-27911: OSS-Fuzz에서 발견함

libxpc

영향: 악성 응용 프로그램이 권한을 높일 수 있음

설명: 로직 문제는 향상된 유효성 확인을 통해 해결되었습니다.

CVE-2020-9971: Tencent Security Xuanwu Lab의 Zhipeng Huo(@R3dF09)

2020년 12월 14일에 추가된 항목

libxpc

영향: 악성 응용 프로그램이 샌드 박스의 범위를 벗어날 수 있음

설명: 디렉토리 경로를 처리할 때 발생하는 구문 분석 문제는 향상된 경로 유효성 확인을 통해 해결되었습니다.

CVE-2020-10014: Tencent Security Xuanwu Lab의 Zhipeng Huo(@R3dF09)

Logging

영향: 로컬 공격자가 자신의 권한을 높일 수 있음

설명: 경로 처리 문제는 향상된 유효성 확인을 통해 해결되었습니다.

CVE-2020-10010: Tommy Muir(@Muirey03)

Mail

영향: 원격 공격자가 응용 프로그램 상태를 예기치 않게 변경할 수 있음

설명: 이 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2020-9941: FH Münster University of Applied Sciences의 Fabian Ising 및 FH Münster University of Applied Sciences의 Damian Poddebniak

Messages

영향: 로컬 사용자가 다른 사용자의 삭제된 메시지를 검색할 수 있음

설명: 이 문제는 향상된 삭제 처리를 통해 해결되었습니다.

CVE-2020-9988: 네덜란드의 William Breuer

CVE-2020-9989: von Brunn Media

Model I/O

영향: 악의적으로 제작된 USD 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 읽기는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2020-10011: Cisco Talos의 Aleksandar Nikolic

2020년 12월 14일에 추가된 항목

Model I/O

영향: 악의적으로 제작된 USD 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 읽기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-13524: Cisco Talos의 Aleksandar Nikolic

Model I/O

영향: 악의적으로 제작된 파일을 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-10004: Cisco Talos의 Aleksandar Nikolic

NetworkExtension

영향: 악성 응용 프로그램이 권한을 높일 수 있음

설명: use-after-free 문제는 향상된 메모리 관리를 통해 해결되었습니다.

CVE-2020-9996: Trend Micro iCore Team의 Zhiwei Yuan, Trend Micro의 Junzhi Lu 및 Mickey Jin

NSRemoteView

영향: 샌드 박스가 적용된 프로세스에서 샌드 박스 제한을 우회할 수 있음

설명: 로직 문제는 향상된 제한 조치를 통해 해결되었습니다.

CVE-2020-27901: Computest Research Division의 Thijs Alkemade

2020년 12월 14일에 추가된 항목

NSRemoteView

영향: 악성 응용 프로그램이 접근 권한이 없는 파일을 미리 볼 수 있음

설명: 스냅샷을 처리할 때 문제가 발생했으나 이 문제는 향상된 권한 로직을 통해 해결되었습니다.

CVE-2020-27900: Computest Research Division의 Thijs Alkemade

PCRE

영향: pcre에서 여러 문제가 발생함

설명: 8.44 버전으로 업데이트하여 여러 문제가 해결되었습니다.

CVE-2019-20838

CVE-2020-14155

Power Management

영향: 악성 응용 프로그램이 커널 메모리 레이아웃을 확인할 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-10007: Trend Micro의 Zero Day Initiative에 참여 중인 singi@theori

python

영향: 하나의 출처에 속한 쿠키가 다른 출처로 전송될 수 있음

설명: 향상된 로직을 통해 여러 문제가 해결되었습니다.

CVE-2020-27896: 익명의 연구원

Quick Look

영향: 악성 앱이 컴퓨터에 파일이 존재하는지를 확인할 수 있음

설명: 이 문제는 향상된 아이콘 캐시 처리를 통해 해결되었습니다.

CVE-2020-9963: Offensive Security의 Csaba Fitzl(@theevilbit)

Quick Look

영향: 악의적으로 제작된 문서를 처리하면 크로스 사이트 스크립팅 공격이 실행될 수 있음

설명: 접근 문제는 향상된 접근 제한을 통해 해결되었습니다.

CVE-2020-10012: KnownSec 404 Team(knownsec.com)의 Heige, Palo Alto Networks(paloaltonetworks.com)의 Bo Qu

2021년 3월 16일에 업데이트된 항목

Ruby

영향: 원격 공격자가 파일 시스템을 수정할 수 있음

설명: 경로 처리 문제는 향상된 유효성 확인을 통해 해결되었습니다.

CVE-2020-27896: 익명의 연구원

Ruby

영향: 특정 JSON 문서를 구문 분석할 때 json gem이 대상 시스템에서 임의 대상체를 만들도록 강제할 수 있음

설명: 이 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2020-10663: Jeremy Evans

Safari

영향: 악의적인 웹 사이트를 방문하면 주소 표시줄 스푸핑이 발생할 수 있음

설명: URL을 처리할 때 스푸핑 문제가 발생했으나 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-9945: Suma Soft Pvt.의 Narendra Bhati Ltd. Pune(India) @imnarendrabhati의 Narendra Bhati

Safari

영향: 악성 응용 프로그램이 사용자가 Safari에서 열어 둔 탭을 확인할 수 있음

설명: 자격 권한 인증에 유효성 확인 문제가 발생했으나 이 문제는 프로세스 자격 권한의 향상된 유효성 확인을 통해 해결되었습니다.

CVE-2020-9977: Josh Parnham(@joshparnham)

Safari

영향: 악의적인 웹 사이트를 방문하면 주소 표시줄 스푸핑이 발생할 수 있음

설명: 일관되지 않은 사용자 인터페이스 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-9942: 익명의 연구원, Rahul d Kankrale(servicenger.com), The City School의 Rayyan Bijoora(@Bijoora), PAF Chapter, Tencent Security Xuanwu Lab의 Ruilin Yang, PT Telekomunikasi Indonesia(Persero) Tbk의 YoKo Kho(@YoKoAcc), OPPO ZIWU Security Lab의 Zhiyang Zeng(@Wester)

Safari

영향: 일관되지 않은 사용자 인터페이스 문제는 향상된 상태 관리를 통해 해결됨

설명: 악의적인 웹 사이트를 방문하면 주소 표시줄 스푸핑이 발생할 수 있습니다.

CVE-2020-9987: Cyber Citadel의 Rafay Baloch(cybercitadel.com)

2021년 7월 21일에 추가된 항목

Sandbox

영향: 로컬 응용 프로그램에 사용자의 iCloud 문서가 나열될 수 있음

설명: 이 문제는 향상된 권한 로직을 통해 해결되었습니다.

CVE-2021-1803: Offensive Security의 Csaba Fitzl(@theevilbit)

2021년 3월 16일에 추가된 항목

Sandbox

영향: 로컬 사용자가 중요한 사용자 정보를 볼 수 있음

설명: 접근 문제는 추가적인 샌드 박스 제한을 통해 해결되었습니다.

CVE-2020-9969: SecuRing(wojciechregula.blog)의 Wojciech Reguła

Screen Sharing

영향: 화면 공유 접근 권한을 가진 사용자가 다른 사용자의 화면을 볼 수 있음

설명: 화면 공유에 문제가 발생했으나 이 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-27893: pcsgomes

2021년 3월 16일에 추가된 항목

Siri

영향: iOS 기기에 물리적으로 접근할 수 있는 사람이 잠금 화면에서 연락처에 접근할 수 있음

설명: 잠금 화면 문제로 인해 잠겨 있는 기기의 연락처에 접근할 수 있었으나 이 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2021-1755: Technion - Israel Institute of Technology의 Yuval Ron, Amichai Shulman 및 Eli Biham

2021년 3월 16일에 추가된 항목

smbx

영향: 네트워크에서 권한 있는 위치에 있는 공격자가 서비스 거부를 수행할 수 있음

설명: 리소스 소모 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-10005: Apple

2021년 10월 25일에 추가된 항목

SQLite

영향: 원격 공격자가 서비스 거부를 야기할 수 있음

설명: 이 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2020-9991

SQLite

영향: 원격 공격자가 메모리를 유출할 수 있음

설명: 정보 공개 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-9849

SQLite

영향: SQLite에서 여러 문제가 발생함

설명: 향상된 확인을 통해 여러 문제가 해결되었습니다.

CVE-2020-15358

SQLite

영향: 악의적으로 제작된 SQL 질의로 인해 데이터 손상이 야기될 수 있음

설명: 이 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2020-13631

SQLite

영향: 원격 공격자가 서비스 거부를 야기할 수 있음

설명: 이 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

SQLite

영향: 원격 공격자가 임의 코드를 실행할 수 있음

설명: 메모리 손상 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-13630

Symptom Framework

영향: 로컬 공격자가 자신의 권한을 높일 수 있음

설명: use-after-free 문제는 향상된 메모리 관리를 통해 해결되었습니다.

CVE-2020-27899: ZecOps에 참여 중인 08Tc3wBB

2020년 12월 14일에 추가된 항목

System Preferences

영향: 샌드 박스가 적용된 프로세스에서 샌드 박스 제한을 우회할 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-10009: Computest Research Division의 Thijs Alkemade

TCC

영향: 루트 권한을 가진 악성 응용 프로그램이 개인 정보에 접근할 수 있음

설명: 로직 문제는 향상된 제한 조치를 통해 해결되었습니다.

CVE-2020-10008: SecuRing의 Wojciech Reguła(wojciechregula.blog)

2020년 12월 14일에 추가된 항목

WebKit

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 임의 코드가 실행될 수 있음

설명: use-after-free 문제는 향상된 메모리 관리를 통해 해결되었습니다.

CVE-2020-27918: Ant Security Light-Year Lab의 Liu Long

2020년 12월 14일에 업데이트된 항목

WebKit

영향: use-after-free 문제는 향상된 메모리 관리를 통해 해결됨

설명: 악의적으로 제작된 웹 콘텐츠를 처리하면 임의 코드가 실행될 수 있습니다.

CVE-2020-9947: Trend Micro Zero Day Initiative에 참여 중인 cc

CVE-2020-9950: Trend Micro Zero Day Initiative에 참여 중인 cc

2021년 7월 21일에 추가된 항목

Wi-Fi

영향: 공격자가 관리되는 프레임 보호를 우회할 수 있음

설명: 서비스 거부 문제는 향상된 상태 처리를 통해 해결되었습니다.

CVE-2020-27898: University of Johannesburg의 Stephan Marais

XNU

영향: 샌드 박스가 적용된 프로세스에서 샌드 박스 제한을 우회할 수 있음

설명: 향상된 로직을 통해 여러 문제가 해결되었습니다.

CVE-2020-27935: Lior Halphon(@LIJI32)

2020년 12월 17일에 추가된 항목

Xsan

영향: 악성 응용 프로그램이 제한된 파일에 접근할 수 있음

설명: 이 문제는 향상된 자격 권한 설정을 통해 해결되었습니다.

CVE-2020-10006: SecuRing의 Wojciech Reguła(@_r3ggi)

감사의 말

802.1X

도움을 주신 카타르 소재 Carnegie Mellon University의 Ryan Riley 님과 Hamad bin Khalifa University의 Kenana Dalle 님께 감사드립니다.

2020년 12월 14일에 추가된 항목

Audio

도움을 주신 Ant-Financial Light-Year Security Lab의 JunDong Xie 님과 Xingwei Lin 님, Marc Schoenefeld Dr. rer. nat. 님께 감사 드립니다.

2021년 3월 16일에 업데이트된 항목

Bluetooth

도움을 주신 NCC Group의 Andy Davis 님, TU Darmstadt의 Dennis Heinze(@ttdennis) 님, Secure Mobile Networking Lab에 감사드립니다.

2020년 12월 14일에 업데이트된 항목

Clang

도움을 주신 Google Project Zero의 Brandon Azad 님께 감사드립니다.

Core Location

도움을 주신 Yiğit Can YILMAZ(@yilmazcanyigit) 님께 감사드립니다.

Crash Reporter

도움을 주신 AFINE의 Artur Byszko 님께 감사드립니다.

2020년 12월 14일에 추가된 항목

Directory Utility

도움을 주신 SecuRing의 Wojciech Reguła(@_r3ggi) 님께 감사드립니다.

iAP

도움을 주신 NCC Group의 Andy Davis 님께 감사드립니다.

Kernel

도움을 주신 Google Project Zero의 Brandon Azad 님, Google의 Stephen Röttger 님께 감사드립니다.

libxml2

도움을 주신 익명의 연구원님께 감사드립니다.

2020년 12월 14일에 추가된 항목

Login Window

도움을 주신 Leidos의 Rob Morton 님께 감사드립니다.

2021년 3월 16일에 추가된 항목

Login Window

도움을 주신 Leidos의 Rob Morton 님께 감사드립니다.

Photos Storage

도움을 주신 LimeHats의 Paulos Yibelo 님께 감사드립니다.

Quick Look

도움을 주신 Csaba Fitzl(@theevilbit) 님과 SecuRing(wojciechregula.blog)의 Wojciech Reguła 님께 감사드립니다.

Safari

도움을 주신 Suma Soft Pvt. Ltd. Pune(인도)의 Gabriel Corona 님과 Narendra Bhati(@imnarendrabhati) 님께 감사드립니다.

Sandbox

도움을 주신 Saagar Jha 님께 감사드립니다.

2023년 5월 11일에 추가된 항목

Security

도움을 주신 Objective Development Software GmbH의 Christian Starkjohann 님께 감사드립니다.

System Preferences

도움을 주신 Offensive Security의 Csaba Fitzl(@theevilbit) 님께 감사드립니다.

2021년 3월 16일에 추가된 항목

System Preferences

도움을 주신 Offensive Security의 Csaba Fitzl(@theevilbit) 님께 감사드립니다.

WebKit

University of Hamburg의 Security in Distributed Systems Group 소속 Maximilian Blochberger

2022년 5월 25일에 추가된 항목

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능 및 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 자세한 내용은 해당 업체에 문의하시기 바랍니다.

게시일: 2023년 10월 31일