Om sikkerhetsinnholdet i macOS Big Sur 11.0.1
I dette dokumentet beskrives sikkerhetsinnholdet i macOS Big Sur 11.0.1.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Big Sur 11.0.1
AMD
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
CVE-2020-27914: Yu Wang fra Didi Research America
CVE-2020-27915: Yu Wang fra Didi Research America
App Store
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2020-27903: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab
Audio
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-27910: JunDong Xie og XingWei Lin fra Ant Security Light-Year Lab
Audio
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-27916: JunDong Xie fra Ant Security Light-Year Lab
Audio
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et skadelig program kan være i stand til å lese begrenset minne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-9943: JunDong Xie fra Ant Group Light-Year Security Lab
Audio
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-9944: JunDong Xie fra Ant Group Light-Year Security Lab
Bluetooth
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller skade på heapen
Beskrivelse: Flere heltallsoverflyter ble løst gjennom forbedret validering av inndata.
CVE-2020-27906: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqiong Security Lab
CFNetwork-buffer
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med heltallsoverskridelse ble løst med forbedret validering av inndata.
CVE-2020-27945: Zhuo Liang fra Qihoo 360 Vulcan Team
CoreAudio
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-27908: JunDong Xie og Xingwei Lin fra Ant Security Light-Year Lab
CVE-2020-27909: Anonym i samarbeid med Trend Micro Zero Day Initiative, JunDong Xie og XingWei Lin fra Ant Security Light-Year Lab
CVE-2020-9960: JunDong Xie og Xingwei Lin fra Ant Security Light-Year Lab
CoreAudio
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-10017: Francis i samarbeid med Trend Micro Zero Day Initiative og JunDong Xie fra Ant Security Light-Year Lab
CoreCapture
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2020-9949: Proteas
CoreGraphics
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av en skadelig PDF-fil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-9897: S.Y. fra ZecOps Mobile XDR, en anonym forsker
CoreGraphics
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-9883: en anonym forsker og Mickey Jin fra Trend Micro
Crash Reporter
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Det var et problem i banevalideringslogikken for symlinks. Problemet ble løst gjennom forbedret banerensing.
CVE-2020-10003: Tim Michaud (@TimGMichaud) fra Leviathan
CoreText
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-27922: Mickey Jin fra Trend Micro
CoreText
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av en skadelig tekstfil kan føre til at vilkårlig kode utføres
Beskrivelse: Et problem med skadet minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-9999: Apple
Directory Utility
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et skadelig program kan få tilgang til privat informasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-27937: Wojciech Reguła (@_r3ggi) fra SecuRing
Disk Images
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-9965: Proteas
CVE-2020-9966: Proteas
Finder
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Brukere kan være ute av stand til å fjerne metadata som indikerer hvor filer ble lastet ned fra
Beskrivelse: Problemet ble løst med bedre brukerkontroller.
CVE-2020-27894: Manuel Trezza fra Shuggr (shuggr.com)
FontParser
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av en skadelig font kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-36615: Peter Nguyen Hoang Vu (@peternguyen14) fra STAR Labs
FontParser
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av en skadelig tekstfil kan føre til at vilkårlig kode utføres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-1790: Peter Nguyen Vu Hoang fra STAR Labs
FontParser
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av en skadelig font kan føre til utføring av vilkårlig kode
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2021-1775: Mickey Jin og Qi Sun fra Trend Micro i samarbeid med Trend Micro Zero Day Initiative
FontParser
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et skadelig program kan være i stand til å lese begrenset minne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-29629: en anonym forsker
FontParser
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-27942: en anonym forsker
FontParser
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.
CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)
FontParser
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-27952: en anonym forsker, Mickey Jin og Junzhi Lu fra Trend Micro
FontParser
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-9956: Mickey Jin og Junzhi Lu fra Trend Micro Mobile Security Research Team i samarbeid med Trend Micro Zero Day Initiative
FontParser
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Det var et problem med skadet minne i håndteringen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2020-27931: Apple
FontParser
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av en skadelig font kan føre til utføring av vilkårlig kode. Apple er klar over rapporter om at det finnes en måte å utnytte dette på.
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
CVE-2020-27930: Google Project Zero
FontParser
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-27927: Xingwei Lin fra Ant Security Light-Year Lab
FontParser
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-29639: Mickey Jin og Qi Sun i Trend Micro i samarbeid med Trend Micros Zero Day Initiative
Foundation
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En lokal bruker kan være i stand til å lese vilkårlige filer
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-10002: James Hutchins
HomeKit
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En angriper med nettverksrettigheter kan være i stand til å modifisere programtilstanden på en uventet måte
Beskrivelse: Problemet ble løst gjennom forbedret innstillingspropagering.
CVE-2020-9978: Luyi Xing, Dongfang Zhao og Xiaofeng Wang ved Indiana University Bloomington, Yan Jia ved Xidian University og University of Chinese Academy of Sciences og Bin Yuan ved HuaZhong University of Science and Technology
ImageIO
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-9955: Mickey Jin fra Trend Micro og Xingwei Lin fra Ant Security Light-Year Lab
ImageIO
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-27924: Lei Sun
ImageIO
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-27912: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2020-27923: Lei Sun
ImageIO
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-9876: Mickey Jin fra Trend Micro
Intel Graphics Driver
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-10015: ABC Research s.r.o. i samarbeid med Trend Micro Zero Day Initiative
CVE-2020-27897: Xiaolong Bai og Min (Spark) Zheng fra Alibaba Inc. og Luyi Xing ved Indiana University Bloomington
Intel Graphics Driver
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.
CVE-2020-27907: ABC Research s.r.o. i samarbeid med Trend Micro Zero Day Initiative, Liu Long fra Ant Security Light-Year Lab
Image Processing
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-27919: Hou JingYi (@hjy79425575) fra Qihoo 360 CERT, Xingwei Lin fra Ant Security Light-Year Lab
Kernel
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En ekstern angriper kan forårsake uventet systemavslutning eller skadet kjerneminne
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2020-9967: Alex Plaskett (@alexjplaskett)
Kernel
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2020-9975: Tielei Wang fra Pangu Lab
Kernel
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.
CVE-2020-27921: Linus Henze (pinauten.de)
Kernel
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var et logisk problem som førte til minnekorrupsjon. Dette ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-27904: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqong Security Lab
Kernel
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å injisere i aktive forbindelser innenfor en VPN-tunnel
Beskrivelse: Et problem med ruting ble løst gjennom forbedrede restriksjoner.
CVE-2019-14899: William J. Tolley, Beau Kujath og Jedidiah R. Crandall
Kernel
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En skadelig app kan være i stand til å avdekke kjerneminnet. Apple er klar over rapporter om at det finnes en måte å utnytte dette på.
Beskrivelse: Et problem med initialisering av minne ble løst.
CVE-2020-27950: Google Project Zero
Kernel
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrud i minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-10016: Alex Helie
Kernel
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter. Apple er klar over rapporter om at det finnes en måte å utnytte dette på.
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-27932: Google Project Zero
libxml2
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2020-27917: funnet av OSS-Fuzz
CVE-2020-27920: funnet av OSS-Fuzz
libxml2
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.
CVE-2020-27911: funnet av OSS-Fuzz
libxpc
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et skadelig program kan være i stand til å utvide rettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2020-9971: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab
libxpc
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et skadelig program kan kanskje bryte ut av sandkassen sin
Beskrivelse: Et tolkningsproblem i håndteringen av katalogbaner ble løst gjennom forbedret banevalidering.
CVE-2020-10014: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab
Logging
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.
CVE-2020-10010: Tommy Muir (@Muirey03)
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En ekstern angriper kan uventet få tilgang til å endre programtilstand
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2020-9941: Fabian Ising ved Fachhochschule Münster og Damian Poddebniak ved Fachhochschule Münster
Messages
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En lokal bruker kan være i stand til å finne en brukers slettede meldinger
Beskrivelse: Problemet ble løst gjennom forbedret sletting.
CVE-2020-9988: William Breuer fra Nederland
CVE-2020-9989: von Brunn Media
Model I/O
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandlingen av en skadelig USD-fil kan føre til uventet programavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-10011: Aleksandar Nikolic fra Cisco Talos
Model I/O
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandlingen av en skadelig USD-fil kan føre til uventet programavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-13524: Aleksandar Nikolic fra Cisco Talos
Model I/O
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Å åpne en skadelig fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-10004: Aleksandar Nikolic fra Cisco Talos
NetworkExtension
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et skadelig program kan være i stand til å utvide rettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2020-9996: Zhiwei Yuan fra Trend Micro iCore Team, Junzhi Lu og Mickey Jin fra Trend Micro
NSRemoteView
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2020-27901: Thijs Alkemade fra Computest Research Division
NSRemoteView
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et skadelig program kan klare å forhåndsvise filer det ikke har tilgang til
Beskrivelse: Det var et problem med håndteringen av øyeblikksbilder. Problemet ble løst med forbedret tillatelseslogikk.
CVE-2020-27900: Thijs Alkemade fra Computest Research Division
PCRE
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Flere problemer i pcre
Beskrivelse: Flere problemer ble løst ved å oppdatere til versjon 8.44.
CVE-2019-20838
CVE-2020-14155
Power Management
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-10007: singi@theori i samarbeid med Trend Micro Zero Day Initiative
python
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Informasjonskapsler som tilhører ett opphav kan bli sendt til et annet opphav
Beskrivelse: Flere problemer ble løst gjennom forbedret logikk.
CVE-2020-27896: en anonym forsker
Quick Look
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En skadelig app kan være i stand til å fastslå at filer eksisterer på datamaskinen
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symbolbuffere.
CVE-2020-9963: Csaba Fitzl (@theevilbit) fra Offensive Security
Quick Look
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av et skadelig dokument kan føre til et skriptangrep mellom nettsteder
Beskrivelse: Et problem med tilgang ble løst med forbedrede tilgangsrestriksjoner.
CVE-2020-10012: Heige fra KnownSec 404 Team (knownsec.com) og Bo Qu fra Palo Alto Networks (paloaltonetworks.com)
Ruby
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En ekstern angriper kan modifisere filsystemet
Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.
CVE-2020-27896: en anonym forsker
Ruby
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Ved tolking av visse JSON-dokumenter kan json-edelsteinen tvinges til å opprette vilkårlige objekter på målsystemet
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2020-10663: Jeremy Evans
Safari
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer
Beskrivelse: Det var et problem med forfalskning i håndteringen av URL-adresser. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2020-9945: Narendra Bhati fra Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati
Safari
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et skadelig program kan være i stand til å fastslå brukerens åpne faner i Safari
Beskrivelse: Det var et valideringsproblem i rettighetsverifiseringen. Problemet ble løst gjennom forbedret validering av prosessrettigheten.
CVE-2020-9977: Josh Parnham (@joshparnham)
Safari
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer
Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-9942: en anonym forsker, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora) ved The City School, PAF Chapter, Ruilin Yang fra Tencent Security Xuanwu Lab, YoKo Kho (@YoKoAcc) fra PT Telekomunikasi Indonesia (Persero) Tbk, Zhiyang Zeng(@Wester) fra OPPO ZIWU Security Lab
Safari
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering
Beskrivelse: Besøk på et skadelig nettsted kan føre til falske adresselinjer.
CVE-2020-9987: Rafay Baloch (cybercitadel.com) fra Cyber Citadel
Sandbox
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et lokalt program kan være i stand til å regne opp antall iCloud-dokumenter brukeren har
Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.
CVE-2021-1803: Csaba Fitzl (@theevilbit) fra Offensive Security
Sandbox
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En lokal bruker kan være i stand til å se sensitiv brukerinformasjon
Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.
CVE-2020-9969: Wojciech Reguła fra SecuRing (wojciechregula.blog)
Screen Sharing
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En bruker med skjermdelingstilgang kan være i stand til å se en annen brukers skjerm
Beskrivelse: Det var et problem med skjermdeling. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-27893: pcsgomes
Siri
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En person med fysisk tilgang til en iOS-enhet kan få tilgang til kontakter fra låst skjerm
Beskrivelse: Et problem med den låste skjermen ga tilgang til kontaktene på en låst enhet. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1755: Yuval Ron, Amichai Shulman og Eli Biham fra Technion – det israelske instituttet for teknologi
smbx
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En angriper med forhøyet tilgang i nettverket kan forårsake tjenestenekt
Beskrivelse: Et problem med tømming av ressurser ble løst gjennom forbedret validering av inndata.
CVE-2020-10005: Apple
SQLite
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En ekstern angriper kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2020-9991
SQLite
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En ekstern angriper kan lekke minne
Beskrivelse: Et problem med informasjonsavsløring ble løst med forbedret tilstandshåndtering.
CVE-2020-9849
SQLite
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Flere problemer i SQLite
Beskrivelse: Flere problemer ble løst gjennom forbedrede kontroller.
CVE-2020-15358
SQLite
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En skadelig SQL-spørring kan føre til korrupsjon av data
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2020-13631
SQLite
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En ekstern angriper kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2020-13434
CVE-2020-13435
CVE-2020-9991
SQLite
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-13630
Symptom Framework
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2020-27899: 08Tc3wBB i samarbeid med ZecOps
System Preferences
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-10009: Thijs Alkemade fra Computest Research Division
TCC
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et skadelig program med rotrettigheter kan få tilgang til personlig informasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2020-10008: Wojciech Reguła fra SecuRing (wojciechregula.blog)
WebKit
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2020-27918: Liu Long fra Ant Security Light-Year Lab
WebKit
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring
Beskrivelse: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode.
CVE-2020-9947: cc i samarbeid med Trend Micro Zero Day Initiative
CVE-2020-9950: cc i samarbeid med Trend Micro Zero Day Initiative
Wi-Fi
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En angriper kan være i stand til å omgå Managed Frame Protection
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-27898: Stephan Marais ved University of Johannesburg
XNU
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner
Beskrivelse: Flere problemer ble løst gjennom forbedret logikk.
CVE-2020-27935: Lior Halphon (@LIJI32)
Xsan
Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)
Virkning: Et skadelig program kan få tilgang til begrensede filer
Beskrivelse: Problemet ble løst gjennom forbedret rettighetstildeling.
CVE-2020-10006: Wojciech Reguła (@_r3ggi) fra SecuRing
Ytterligere anerkjennelser
802.1X
Vi vil gjerne takke Kenana Dalle fra Hamad bin Khalifa-universitetet og Ryan Riley fra Carnegie Mellon-universitetet i Qatar for hjelpen.
Audio
Vi vil gjerne takke JunDong Xie og Xingwei Lin fra Ant-Financial Light-Year Security Lab og Marc Schoenefeld Dr. rer. nat. for hjelpen.
Bluetooth
Vi vil gjerne takke Andy Davis fra NCC Group, Dennis Heinze (@ttdennis) ved TU Darmstadt, Secure Mobile Networking Lab for hjelpen.
Clang
Vi vil gjerne takke Brandon Azad fra Google Project Zero for hjelpen.
Core Location
Vi vil gjerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjelpen.
Crash Reporter
Vi vil gjerne takke Artur Byszko fra AFINE for hjelpen.
Directory Utility
Vi vil gjerne takke Wojciech Reguła (@_r3ggi) fra SecuRing for hjelpen.
iAP
Vi vil gjerne takke Andy Davis fra NCC Group for hjelpen.
Kernel
Vi vil gjerne takke Brandon Azad fra Google Project Zero og Stephen Röttger fra Google for hjelpen.
libxml2
Vi vil gjerne takke en anonym forsker for hjelpen.
Login Window
Vi vil gjerne takke Rob Morton fra Leidos for hjelpen.
Login Window
Vi vil gjerne takke Rob Morton fra Leidos for hjelpen.
Photos Storage
Vi vil gjerne takke Paulos Yibelo fra LimeHats for hjelpen.
Quick Look
Vi vil gjerne takke Csaba Fitzl (@theevilbit) og Wojciech Reguła fra SecuRing (wojciechregula.blog) for hjelpen.
Safari
Vi vil gjerne takke Gabriel Corona og Narendra Bhati fra Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati for hjelpen.
Sandbox
Vi vil gjerne takke Saagar Jha for hjelpen.
Security
Vi vil gjerne takke Christian Starkjohann fra Objective Development Software GmbH for hjelpen.
System Preferences
Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjelpen.
System Preferences
Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjelpen.
WebKit
Maximilian Blochberger fra gruppen Security in Distributed Systems ved universitetet i Hamburg
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.