Over de beveiligingsinhoud van macOS Big Sur 11.1, Beveiligingsupdate 2020-001 Catalina en Beveiligingsupdate 2020-007 Mojave

In dit document wordt de beveiligingsinhoud beschreven van macOS Big Sur 11.1, Beveiligingsupdate 2020-001 Catalina en Beveiligingsupdate 2020-007 Mojave.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging

macOS Big Sur 11.1, Beveiligingsupdate 2020-001 Catalina, Beveiligingsupdate 2020-007 Mojave

AMD

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2020-27914: Yu Wang van Didi Research America

CVE-2020-27915: Yu Wang van Didi Research America

AMD

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen

Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2020-27936: Yu Wang van Didi Research America

App Store

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2020-27903: Zhipeng Huo (@R3dF09) van het Tencent Security Xuanwu Lab

AppleGraphicsControl

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

CVE-2020-27941: shrek_wzw

AppleMobileFileIntegrity

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: een kwaadaardig programma kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2020-29621: Wojciech Reguła (@_r3ggi) van SecuRing

Audio

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan beperkt geheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-29610: anoniem in samenwerking met het Zero Day Initiative van Trend Micro

Audio

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-27910: JunDong Xie en XingWei Li van het Ant Security Light-Year Lab

Audio

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een kwaadaardig programma kan beperkt geheugen lezen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-9943: JunDong Xie van het Ant Security Light-Year Lab

Audio

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-9944: JunDong Xie van het Ant Security Light-Year Lab

Audio

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-27916: JunDong Xie van het Ant Security Light-Year Lab

Bluetooth

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of heapbeschadiging veroorzaken

Beschrijving: er zijn meerdere integer-overflows verholpen met verbeterde invoervalidatie.

CVE-2020-27906: Zuozhi Fan (@pattern_F_) van het Ant Group Tianqiong Security Lab

CoreAudio

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-27948: JunDong Xie van het Ant Security Light-Year Lab

CoreAudio

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-27908: anoniem in samenwerking met het Zero Day Initiative van Trend Micro, JunDong Xie en Xingwei Lin van Ant Security Light-Year Lab

CVE-2020-9960: JunDong Xie en Xingwei Lin van het Ant Security Light-Year Lab

CoreAudio

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-10017: Francis in samenwerking met het Zero Day Initiative van Trend Micro, JunDong Xie van het Ant Security Light-Year Lab

CoreText

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2020-27922: Mickey Jin van Trend Micro

CUPS

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een kwaadaardig programma kan beperkt geheugen lezen

Beschrijving: een probleem met invoervalidatie is verholpen door een verbeterde geheugenverwerking.

CVE-2020-10001: Niky

FontParser

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een probleem met vrijgave van gegevens is verholpen door verbeterd statusbeheer.

CVE-2020-27946: Mateusz Jurczyk van Google Project Zero

FontParser

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

FontParser

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-27952: een anonieme onderzoeker, Mickey Jin en Junzhi Lu van Trend Micro

FontParser

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-9956: Mickey Jin en Junzhi Lu van het Trend Micro Mobile Security Research Team in samenwerking met het Zero Day Initiative van Trend Micro

FontParser

Beschikbaar voor: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2020-27931: Apple

CVE-2020-27943: Mateusz Jurczyk van Google Project Zero

CVE-2020-27944: Mateusz Jurczyk van Google Project Zero

CVE-2020-29624: Mateusz Jurczyk van Google Project Zero

FontParser

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: een externe aanvaller kan geheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-29608: Xingwei Lin van het Ant Security Light-Year Lab

Foundation

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een lokale gebruiker kan willekeurige bestanden lezen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2020-10002: James Hutchins

Graphics Drivers

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2020-27947: ABC Research s.r.o. in samenwerking met het Zero Day Initiative van Trend Micro, Liu Long van Ant Security Light-Year Lab

Graphics Drivers

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-29612: ABC Research s.r.o. in samenwerking met het Zero Day Initiative van Trend Micro

HomeKit

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk onverwacht de status van een programma wijzigen

Beschrijving: dit probleem is verholpen door een verbeterde doorgave van de instellingen.

CVE-2020-9978: Luyi Xing, Dongfang Zhao en Xiaofeng Wang van Indiana University Bloomington, Yan Jia van Xidian University en University of Chinese Academy of Sciences, en Bin Yuan van HuaZhong University of Science and Technology

ImageIO

Beschikbaar voor: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2020-27939: Xingwei Lin van het Ant Security Light-Year Lab

CVE-2020-29625: Xingwei Lin van het Ant Security Light-Year Lab

ImageIO

Beschikbaar voor: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial of service

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-29615: Xingwei Lin van het Ant Security Light-Year Lab

ImageIO

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2020-29616: zhouat in samenwerking met het Zero Day Initiative van Trend Micro

ImageIO

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-27924: Lei Sun

CVE-2020-29618: XingWei Lin van het Ant Security Light-Year Lab

ImageIO

Beschikbaar voor: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-29611: Alexandru-Vlad Niculae in samenwerking met Google Project Zero

ImageIO

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot heapbeschadiging

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-29617: XingWei Lin van het Ant Security Light-Year Lab

CVE-2020-29619: XingWei Lin van het Ant Security Light-Year Lab

ImageIO

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-27912: Xingwei Lin van het Ant Security Light-Year Lab

CVE-2020-27923: Lei Sun

Image Processing

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-27919: Hou JingYi (@hjy79425575) van Qihoo 360 CERT, Xingwei Lin van het Ant Security Light-Year Lab

Intel Graphics Driver

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-10015: ABC Research s.r.o. in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2020-27897: Xiaolong Bai en Min (Spark) Zheng van Alibaba Inc. en Luyi Xing van Indiana University Bloomington

Intel Graphics Driver

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2020-27907: ABC Research s.r.o. in samenwerking met het Zero Day Initiative van Trend Micro, Liu Long van Ant Security Light-Year Lab

Kernel

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2020-10016: Alex Helie

Kernel

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een externe aanvaller kan het onverwacht beëindigen van het systeem of het beschadigen van het kernelgeheugen veroorzaken

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door verbeterde invoervalidatie.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Kernel

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2020-9975: Tielei Wang van Pangu Lab

Kernel

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.

CVE-2020-27921: Linus Henze (pinauten.de)

Kernel

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: een schadelijk programma kan onverwachte wijzigingen veroorzaken in geheugen dat is gekoppeld aan processen getraceerd door DTrace

Beschrijving: dit probleem is verholpen door middel van verbeterde controles om ongeautoriseerde acties te voorkomen.

CVE-2020-27949: Steffen Klee (@_kleest) van TU Darmstadt, Secure Mobile Networking Lab

Kernel

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: een kwaadaardig programma kan de bevoegdheden verhogen

Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.

CVE-2020-29620: Csaba Fitzl (@theevilbit) van Offensive Security

libxml2

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een probleem met overloop van gehele getallen is verholpen door een verbeterde invoervalidatie.

CVE-2020-27911: gevonden door OSS-Fuzz

libxml2

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2020-27920: gevonden door OSS-Fuzz

libxml2

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2020-27926: gevonden door OSS-Fuzz

libxpc

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een kwaadwillig programma kan buiten zijn sandbox komen

Beschrijving: een probleem met het parseren bij de verwerking van directorypaden is verholpen door een verbeterde padvalidatie.

CVE-2020-10014: Zhipeng Huo (@R3dF09) van het Tencent Security Xuanwu Lab

Logging

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

CVE-2020-10010: Tommy Muir (@Muirey03)

Login Window

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk het authenticatiebeleid omzeilen

Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.

CVE-2020-29633: Jewel Lambert van Original Spin, LLC.

Model I/O

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot heapbeschadiging

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2020-29614: ZhiWei Sun (@5n1p3r0010) van Topsec Alpha Lab

Model I/O

Beschikbaar voor: macOS Catalina 10.15.7

Impact: het verwerken van een kwaadwillig vervaardigd USD-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-13520: Aleksandar Nikolic van Cisco Talos

Model I/O

Beschikbaar voor: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigd USD-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: een probleem met bufferoverloop is verholpen door een verbeterde verwerking van het geheugen.

CVE-2020-9972: Aleksandar Nikolic van Cisco Talos

Model I/O

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: het verwerken van een kwaadwillig vervaardigd USD-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-13524: Aleksandar Nikolic van Cisco Talos

Model I/O

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: het openen van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2020-10004: Aleksandar Nikolic van Cisco Talos

NSRemoteView

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2020-27901: Thijs Alkemade van Computest Research Division

Power Management

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: een kwaadaardig programma kan de bevoegdheden verhogen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2020-27938: Tim Michaud (@TimGMichaud) van Leviathan

Power Management

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2020-10007: singi@theori in samenwerking met het Zero Day Initiative van Trend Micro

Quick Look

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: het verwerken van een kwaadwillig vervaardigd document kan leiden tot een cross-site scripting-aanval

Beschrijving: een toegangsprobleem is verholpen door verbeterde toegangsbeperkingen.

CVE-2020-10012: Heige van het KnownSec 404 Team (knownsec.com) en Bo Qu van Palo Alto Networks (paloaltonetworks.com)

Ruby

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een externe aanvaller kan mogelijk het bestandssysteem wijzigen

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

CVE-2020-27896: een anonieme onderzoeker

System Preferences

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2020-10009: Thijs Alkemade van Computest Research Division

WebKit Storage

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: een gebruiker kan de browsergeschiedenis mogelijk niet volledig wissen

Beschrijving: met 'Wis geschiedenis en websitedata' werd de geschiedenis niet gewist. Het probleem is verholpen door een verbeterde verwijdering van gegevens.

CVE-2020-29623: Simon Hunt van OvalTwo LTD

WebRTC

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2020-15969: een anonieme onderzoeker

Wi-Fi

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een aanvaller kan Managed Frame Protection omzeilen

Beschrijving: een denial of service-probleem is verholpen door verbeterde statusverwerking.

CVE-2020-27898: Stephan Marais van de Universiteit van Johannesburg

Aanvullende erkenning

CoreAudio

Met dank aan JunDong Xie en Xingwei Lin van Ant Security Light-Year Lab voor hun hulp.