Over de beveiligingsinhoud van macOS Big Sur 11.0.1

In dit document wordt de beveiligingsinhoud van macOS Big Sur 11.0.1 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

macOS Big Sur 11.0.1

Gepubliceerd op 12 november 2020

AMD

Beschikbaar voor: Mac Pro (2013 en nieuwer), MacBook Air (2013 en nieuwer), MacBook Pro (eind 2013 en nieuwer), Mac mini (2014 en nieuwer), iMac (2014 en nieuwer), MacBook (2015 en nieuwer), iMac Pro (alle modellen)

Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2020-27914: Yu Wang van Didi Research America

CVE-2020-27915: Yu Wang van Didi Research America

Toegevoegd op 14 december 2020

App Store

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2020-27903: Zhipeng Huo (@R3dF09) van het Tencent Security Xuanwu Lab

Audio

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-27910: JunDong Xie en XingWei Li van het Ant Security Light-Year Lab

Audio

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-27916: JunDong Xie van het Ant Security Light-Year Lab

Audio

Impact: een kwaadaardig programma kan beperkt geheugen lezen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-9943: JunDong Xie van het Ant Group Light-Year Security Lab

Audio

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-9944: JunDong Xie van het Ant Group Light-Year Security Lab

Bluetooth

Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of heapbeschadiging veroorzaken

Beschrijving: er zijn meerdere integer-overflows verholpen met verbeterde invoervalidatie.

CVE-2020-27906: Zuozhi Fan (@pattern_F_) van het Ant Group Tianqiong Security Lab

CFNetwork Cache

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.

CVE-2020-27945: Zhuo Liang van het Qihoo 360 Vulcan Team

Toegevoegd op 16 maart 2021

CoreAudio

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-27908: JunDong Xie en Xingwei Lin van Ant Security Light-Year Lab

CVE-2020-27909: anoniem in samenwerking met het Zero Day Initiative van Trend Micro, JunDong Xie en Xingwei Lin van Ant Security Light-Year Lab

CVE-2020-9960: JunDong Xie en Xingwei Lin van het Ant Security Light-Year Lab

Toegevoegd op 14 december 2020

CoreAudio

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-10017: Francis in samenwerking met het Zero Day Initiative van Trend Micro, JunDong Xie van het Ant Security Light-Year Lab

CoreCapture

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2020-9949: Proteas

CoreGraphics

Impact: het verwerken van een kwaadwillig vervaardigde pdf kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-9897: S.Y. van ZecOps Mobile XDR, een anonieme onderzoeker

Toegevoegd op 25 oktober 2021

CoreGraphics

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-9883: een anonieme onderzoeker, Mickey Jin van Trend Micro

Crash Reporter

Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen

Beschrijving: er was een probleem bij de validatielogica van het pad voor symlinks. Dit probleem is verholpen met verbeterde opschoning van het pad.

CVE-2020-10003: Tim Michaud (@TimGMichaud) van Leviathan

CoreText

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2020-27922: Mickey Jin van Trend Micro

Toegevoegd op 14 december 2020

CoreText

Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2020-9999: Apple

Bijgewerkt op 14 december 2020

Directory Utility

Impact: een kwaadaardig programma kan mogelijk toegang verkrijgen tot privégegevens

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2020-27937: Wojciech Reguła (@_r3ggi) van SecuRing

Toegevoegd op 16 maart 2021

Disk Images

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Finder

Impact: gebruikers kunnen geen metadata verwijderen die aangeven waar bestanden van zijn gedownload

Beschrijving: het probleem is verholpen door aanvullende gebruikersregelaars.

CVE-2020-27894: Manuel Trezza van Shuggr (shuggr.com)

FontParser

Impact: het verwerken van een kwaadwillig vervaardigd lettertype kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-36615: Peter Nguyen Hoang Vu (@peternguyen14) van STAR Labs

Toegevoegd op donderdag 11 mei 2023

FontParser

Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1790: Peter Nguyen en Vu Hoang van STAR Labs

Toegevoegd op 25 mei 2022

FontParser

Impact: het verwerken van een kwaadwillig vervaardigd lettertype kan leiden tot het uitvoeren van willekeurige code

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2021-1775: Mickey Jin en Qi Sun van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 25 oktober 2021

FontParser

Impact: een kwaadaardig programma kan beperkt geheugen lezen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-29629: een anonieme onderzoeker

Toegevoegd op 25 oktober 2021

FontParser

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2020-27942: een anonieme onderzoeker

Toegevoegd op 25 oktober 2021

FontParser

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Toegevoegd op 14 december 2020

FontParser

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-27952: een anonieme onderzoeker, Mickey Jin en Junzhi Lu van Trend Micro

Toegevoegd op 14 december 2020

FontParser

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-9956: Mickey Jin en Junzhi Lu van het Trend Micro Mobile Security Research Team in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 14 december 2020

FontParser

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2020-27931: Apple

Toegevoegd op 14 december 2020

FontParser

Impact: het verwerken van een kwaadwillig vervaardigd lettertype kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van meldingen dat er in de praktijk misbruik wordt gemaakt van dit probleem.

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2020-27930: Google Project Zero

FontParser

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-27927: Xingwei Lin van het Ant Security Light-Year Lab

FontParser

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-29639: Mickey Jin en Qi Sun van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 21 juli 2021

Foundation

Impact: een lokale gebruiker kan willekeurige bestanden lezen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2020-10002: James Hutchins

HomeKit

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk onverwacht de status van een programma wijzigen

Beschrijving: dit probleem is verholpen door een verbeterde doorgave van de instellingen.

CVE-2020-9978: Luyi Xing, Dongfang Zhao en Xiaofeng Wang van Indiana University Bloomington, Yan Jia van Xidian University en University of Chinese Academy of Sciences, en Bin Yuan van HuaZhong University of Science and Technology

Toegevoegd op 14 december 2020

ImageIO

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-9955: Mickey Jin van Tred Micro, Xingwei Lin van het Ant Security Light-Year Lab

Toegevoegd op 14 december 2020

ImageIO

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-27924: Lei Sun

Toegevoegd op 14 december 2020

ImageIO

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-27912: Xingwei Lin van het Ant Security Light-Year Lab

CVE-2020-27923: Lei Sun

Bijgewerkt op 14 december 2020

ImageIO

Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-9876: Mickey Jin van Trend Micro

Intel Graphics Driver

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-10015: ABC Research s.r.o. in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2020-27897: Xiaolong Bai en Min (Spark) Zheng van Alibaba Inc. en Luyi Xing van Indiana University Bloomington

Toegevoegd op 14 december 2020

Intel Graphics Driver

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2020-27907: ABC Research s.r.o. in samenwerking met het Zero Day Initiative van Trend Micro, Liu Long van Ant Security Light-Year Lab

Toegevoegd op 14 december 2020, bijgewerkt op 16 maart 2021

Image Processing

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-27919: Hou JingYi (@hjy79425575) van Qihoo 360 CERT, Xingwei Lin van het Ant Security Light-Year Lab

Toegevoegd op 14 december 2020

Kernel

Impact: een externe aanvaller kan het onverwacht beëindigen van het systeem of het beschadigen van het kernelgeheugen veroorzaken

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door verbeterde invoervalidatie.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Toegevoegd op 14 december 2020

Kernel

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2020-9975: Tielei Wang van Pangu Lab

Toegevoegd op 14 december 2020

Kernel

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.

CVE-2020-27921: Linus Henze (pinauten.de)

Toegevoegd op 14 december 2020

Kernel

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: er was een logicaprobleem dat geheugenbeschadiging tot gevolg had. Dit is verholpen door verbeterd statusbeheer.

CVE-2020-27904: Zuozhi Fan (@pattern_F_) van het Ant Group Tianqiong Security Lab

Kernel

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan code injecteren in actieve verbindingen in een VPN-tunnel

Beschrijving: een routingprobleem is verholpen door verbeterde beperkingen.

CVE-2019-14899: William J. Tolley, Beau Kujath en Jedidiah R. Crandall

Kernel

Impact: een kwaadwillig vervaardigd programma kan kernelgeheugen vrijgeven. Apple is op de hoogte van meldingen dat er in de praktijk misbruik wordt gemaakt van dit probleem.

Beschrijving: een probleem met geheugeninitialisatie is verholpen.

CVE-2020-27950: Google Project Zero

Kernel

Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2020-10016: Alex Helie

Kernel

Impact: een kwaadwillig programma kan willekeurige code uitvoeren met kernelbevoegdheden. Apple is op de hoogte van meldingen dat er in de praktijk misbruik wordt gemaakt van dit probleem.

Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.

CVE-2020-27932: Google Project Zero

libxml2

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2020-27917: gevonden door OSS-Fuzz

CVE-2020-27920: gevonden door OSS-Fuzz

Bijgewerkt op 14 december 2020

libxml2

Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een probleem met overloop van gehele getallen is verholpen door een verbeterde invoervalidatie.

CVE-2020-27911: gevonden door OSS-Fuzz

libxpc

Impact: een kwaadaardig programma kan de bevoegdheden verhogen

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2020-9971: Zhipeng Huo (@R3dF09) van het Tencent Security Xuanwu Lab

Toegevoegd op 14 december 2020

libxpc

Impact: een kwaadwillig programma kan buiten zijn sandbox komen

Beschrijving: een probleem met het parseren bij de verwerking van directorypaden is verholpen door een verbeterde padvalidatie.

CVE-2020-10014: Zhipeng Huo (@R3dF09) van het Tencent Security Xuanwu Lab

Logging

Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

CVE-2020-10010: Tommy Muir (@Muirey03)

Mail

Impact: een aanvaller op afstand kan mogelijk onverwacht de status van een programma wijzigen

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2020-9941: Fabian Ising van FH Münster University of Applied Sciences en Damian Poddebniak van FH Münster University of Applied Sciences

Messages

Impact: een lokale gebruiker zou de verwijderde berichten van een gebruiker kunnen zien

Beschrijving: het probleem is verholpen met verbeterde verwijdering.

CVE-2020-9988: William Breuer, Nederland

CVE-2020-9989: von Brunn Media

Model I/O

Impact: het verwerken van een kwaadwillig vervaardigd USD-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-10011: Aleksandar Nikolic van Cisco Talos

Toegevoegd op 14 december 2020

Model I/O

Impact: het verwerken van een kwaadwillig vervaardigd USD-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-13524: Aleksandar Nikolic van Cisco Talos

Model I/O

Impact: het openen van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2020-10004: Aleksandar Nikolic van Cisco Talos

NetworkExtension

Impact: een kwaadaardig programma kan de bevoegdheden verhogen

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2020-9996: Zhiwei Yuan van het Trend Micro iCore Team, Junzhi Lu en Mickey Jin van Trend Micro

NSRemoteView

Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2020-27901: Thijs Alkemade van Computest Research Division

Toegevoegd op 14 december 2020

NSRemoteView

Impact: een kwaadwillig programma kan een voorvertoning bekijken van bestanden waartoe het geen toegang heeft

Beschrijving: er was een probleem bij de verwerking van snapshots. Het probleem is verholpen door verbeterde logica voor bevoegdheden.

CVE-2020-27900: Thijs Alkemade van Computest Research Division

PCRE

Impact: meerdere problemen in pcre

Beschrijving: meerdere problemen zijn verholpen door bij te werken naar versie 8.44.

CVE-2019-20838

CVE-2020-14155

Power Management

Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2020-10007: singi@theori in samenwerking met het Zero Day Initiative van Trend Micro

python

Impact: cookies van een bron kunnen naar een andere bron worden verstuurd

Beschrijving: meerdere problemen zijn verholpen door verbeterde logica.

CVE-2020-27896: een anonieme onderzoeker

Quick Look

Impact: een kwaadwillige app kan bepalen of bestanden op de computer staan

Beschrijving: het probleem is verholpen door een verbeterde verwerking van symboolcaches.

CVE-2020-9963: Csaba Fitzl (@theevilbit) van Offensive Security

Quick Look

Impact: het verwerken van een kwaadwillig vervaardigd document kan leiden tot een cross-site scripting-aanval

Beschrijving: een toegangsprobleem is verholpen door verbeterde toegangsbeperkingen.

CVE-2020-10012: Heige van het KnownSec 404 Team (knownsec.com) en Bo Qu van Palo Alto Networks (paloaltonetworks.com)

Bijgewerkt op 16 maart 2021

Ruby

Impact: een externe aanvaller kan mogelijk het bestandssysteem wijzigen

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

CVE-2020-27896: een anonieme onderzoeker

Ruby

Impact: bij het analyseren van bepaalde JSON-documenten kan de json gem worden gedwongen willekeurige objecten aan te maken in het doelsysteem

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2020-10663: Jeremy Evans

Safari

Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing

Beschrijving: er was een probleem met vervalsing bij de verwerking van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2020-9945: Narendra Bhati van Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati

Safari

Impact: een kwaadwillig programma kan bepalen welke tabbladen een gebruiker open heeft in Safari

Beschrijving: er was een probleem met de validatie in de verificatie van toegangsrechten. Dit probleem is verholpen met verbeterde validatie van de toegangsrechten van processen.

CVE-2020-9977: Josh Parnham (@joshparnham)

Safari

Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen met verbeterd statusbeheer.

CVE-2020-9942: een anonieme onderzoeker, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora) van The City School, PAF Chapter, Ruilin Yang van het Tencent Security Xuanwu Lab, YoKo Kho (@YoKoAcc) van PT Telekomunikasi Indonesia (Persero) Tbk, Zhiyang Zeng(@Wester) van het OPPO ZIWU Security Lab

Safari

Impact: een probleem met een inconsistente gebruikersinterface is verholpen met verbeterd statusbeheer

Beschrijving: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing.

CVE-2020-9987: Rafay Baloch (cybercitadel.com) van Cyber Citadel

Toegevoegd op 21 juli 2021

Sandbox

Impact: een lokaal programma kan mogelijk de iCloud-documenten van een gebruiker inventariseren

Beschrijving: het probleem is verholpen door verbeterde logica voor bevoegdheden.

CVE-2021-1803: Csaba Fitzl (@theevilbit) van Offensive Security

Toegevoegd op 16 maart 2021

Sandbox

Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie bekijken

Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.

CVE-2020-9969: Wojciech Reguła van SecuRing (wojciechregula.blog)

Screen Sharing

Impact: een gebruiker met toegang tot schermdeling kan het scherm van een andere gebruiker bekijken

Beschrijving: er was sprake van een probleem met schermdeling. Dit probleem is opgelost door verbeterd statusbeheer.

CVE-2020-27893: pcsgomes

Toegevoegd op 16 maart 2021

Siri

Impact: een persoon met fysieke toegang tot een iOS-apparaat heeft mogelijk toegang tot contacten vanaf het toegangsscherm

Beschrijving: door een probleem met het toegangsscherm waren contacten op een vergrendeld apparaat toegankelijk. Dit probleem is opgelost door verbeterd statusbeheer.

CVE-2021-1755: Yuval Ron, Amichai Shulman en Eli Biham van Technion - Israel Institute of Technology

Toegevoegd op 16 maart 2021

smbx

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk een denial of service uitvoeren

Beschrijving: er is een bronuitputtingsprobleem aangepakt door verbeterde invoervalidatie.

CVE-2020-10005: Apple

Toegevoegd op 25 oktober 2021

SQLite

Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2020-9991

SQLite

Impact: een externe aanvaller kan geheugen vrijgeven

Beschrijving: een probleem met vrijgave van gegevens is verholpen door verbeterd statusbeheer.

CVE-2020-9849

SQLite

Impact: meerdere problemen in SQLite

Beschrijving: meerdere problemen zijn verholpen door verbeterde controles.

CVE-2020-15358

SQLite

Impact: een kwaadwillig vervaardigde SQL-zoekactie kan leiden tot beschadiging van gegevens

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2020-13631

SQLite

Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

SQLite

Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2020-13630

Symptom Framework

Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2020-27899: 08Tc3wBB in samenwerking met ZecOps

Toegevoegd op 14 december 2020

System Preferences

Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2020-10009: Thijs Alkemade van Computest Research Division

TCC

Impact: een kwaadaardig programma met rootbevoegdheden kan toegang krijgen tot privé-informatie

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2020-10008: Wojciech Reguła van SecuRing (wojciechregula.blog)

Toegevoegd op 14 december 2020

WebKit

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2020-27918: Liu Long van het Ant Security Light-Year Lab

Bijgewerkt op 14 december 2020

WebKit

Impact: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen

Beschrijving: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code.

CVE-2020-9947: cc in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2020-9950: cc in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 21 juli 2021

Wifi

Impact: een aanvaller kan Managed Frame Protection omzeilen

Beschrijving: een denial of service-probleem is verholpen door verbeterde statusverwerking.

CVE-2020-27898: Stephan Marais van de Universiteit van Johannesburg

XNU

Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen

Beschrijving: meerdere problemen zijn verholpen door verbeterde logica.

CVE-2020-27935: Lior Halphon (@LIJI32)

Toegevoegd op 17 december 2020

Xsan

Impact: een kwaadaardig programma kan mogelijk toegang verkrijgen tot beperkte bestanden

Beschrijving: dit probleem is verholpen door middel van verbeterde bevoegdheden.

CVE-2020-10006: Wojciech Reguła (@_r3ggi) van SecuRing

Aanvullende erkenning

802.1X

Met dank aan Kenana Dalle van Hamad bin Khalifa University en Ryan Riley van Carnegie Mellon University in Qatar voor hun hulp.

Toegevoegd op 14 december 2020

Audio

Met dank aan JunDong Xie en Xingwei Lin van Ant-Financial Light-Year Security Lab, Marc Schoenefeld Dr. rer. nat. voor zijn hulp.

Bijgewerkt op 16 maart 2021

Bluetooth

Met dank aan Andy Davis van NCC Group, Dennis Heinze (@ttdennis) van TU Darmstadt, Secure Mobile Networking Lab voor hun hulp.

Bijgewerkt op 14 december 2020

Clang

Met dank aan Brandon Azad van Google Project Zero voor de hulp.

Core Location

Met dank aan Yiğit Can YILMAZ (@yilmazcanyigit) voor zijn hulp.

Crash Reporter

Met dank aan Artur Byszko van AFINE voor de hulp.

Toegevoegd op 14 december 2020

Directory Utility

Met dank aan Wojciech Reguła (@_r3ggi) van SecuRing voor de hulp.

iAP

Met dank aan Andy Davis van de NCC Group voor zijn hulp.

Kernel

Met dank aan Brandon Azad van Google Project Zero en Stephen Röttger van Google voor de hulp.

libxml2

Met dank aan een anonieme onderzoeker voor de hulp.

Toegevoegd op 14 december 2020

Login Window

Met dank aan Rob Morton van Leidos voor de hulp.

Toegevoegd op 16 maart 2021

Login Window

Met dank aan Rob Morton van Leidos voor de hulp.

Photos Storage

Met dank aan Paulos Yibelo van LimeHats voor de hulp.

Quick Look

Met dank aan Csaba Fitzl (@theevilbit) en Wojciech Reguła van SecuRing (wojciechregula.blog) voor de hulp.

Safari

Met dank aan Gabriel Corona en Narendra Bhati van Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati voor de hulp.

Sandbox

Met dank aan Saagar Jha voor de hulp.

Toegevoegd op donderdag 11 mei 2023

Security

Met dank aan Christian Starkjohann van Objective Development Software GmbH voor de hulp.

System Preferences

Met dank aan Csaba Fitzl (@theevilbit) van Offensive Security voor de hulp.

Toegevoegd op 16 maart 2021

System Preferences

Met dank aan Csaba Fitzl (@theevilbit) van Offensive Security voor de hulp.

WebKit

Maximilian Blochberger van de Security in Distributed Systems Group van de Universiteit van Hamburg

Toegevoegd op 25 mei 2022

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: oktober 31, 2023