Om sikkerhetsinnholdet i macOS Big Sur 11.0.1

I dette dokumentet beskrives sikkerhetsinnholdet i macOS Big Sur 11.0.1.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

macOS Big Sur 11.0.1

Utgitt 12. november 2020

AMD

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.

CVE-2020-27914: Yu Wang fra Didi Research America

CVE-2020-27915: Yu Wang fra Didi Research America

Oppføring lagt til 14. desember 2020

App Store

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et program kan være i stand til å få utvidede rettigheter

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2020-27903: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab

Audio

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-27910: JunDong Xie og XingWei Lin fra Ant Security Light-Year Lab

Audio

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-27916: JunDong Xie fra Ant Security Light-Year Lab

Audio

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et skadelig program kan være i stand til å lese begrenset minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-9943: JunDong Xie fra Ant Group Light-Year Security Lab

Audio

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-9944: JunDong Xie fra Ant Group Light-Year Security Lab

Bluetooth

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller skade på heapen

Beskrivelse: Flere heltallsoverflyter ble løst gjennom forbedret validering av inndata.

CVE-2020-27906: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqiong Security Lab

CFNetwork-buffer

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med heltallsoverskridelse ble løst med forbedret validering av inndata.

CVE-2020-27945: Zhuo Liang fra Qihoo 360 Vulcan Team

Oppføring lagt til 16. mars 2021

CoreAudio

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-27908: JunDong Xie og Xingwei Lin fra Ant Security Light-Year Lab

CVE-2020-27909: Anonym i samarbeid med Trend Micro Zero Day Initiative, JunDong Xie og XingWei Lin fra Ant Security Light-Year Lab

CVE-2020-9960: JunDong Xie og Xingwei Lin fra Ant Security Light-Year Lab

Oppføring lagt til 14. desember 2020

CoreAudio

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-10017: Francis i samarbeid med Trend Micro Zero Day Initiative og JunDong Xie fra Ant Security Light-Year Lab

CoreCapture

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2020-9949: Proteas

CoreGraphics

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av en skadelig PDF-fil kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-9897: S.Y. fra ZecOps Mobile XDR, en anonym forsker

Oppføring lagt til 25. oktober 2021

CoreGraphics

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-9883: en anonym forsker og Mickey Jin fra Trend Micro

Crash Reporter

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine

Beskrivelse: Det var et problem i banevalideringslogikken for symlinks. Problemet ble løst gjennom forbedret banerensing.

CVE-2020-10003: Tim Michaud (@TimGMichaud) fra Leviathan

CoreText

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-27922: Mickey Jin fra Trend Micro

Oppføring lagt til 14. desember 2020

CoreText

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av en skadelig tekstfil kan føre til at vilkårlig kode utføres

Beskrivelse: Et problem med skadet minnet ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-9999: Apple

Oppføring oppdatert 14. desember 2020

Directory Utility

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et skadelig program kan få tilgang til privat informasjon

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-27937: Wojciech Reguła (@_r3ggi) fra SecuRing

Oppføring lagt til 16. mars 2021

Disk Images

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Finder

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Brukere kan være ute av stand til å fjerne metadata som indikerer hvor filer ble lastet ned fra

Beskrivelse: Problemet ble løst med bedre brukerkontroller.

CVE-2020-27894: Manuel Trezza fra Shuggr (shuggr.com)

FontParser

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av en skadelig font kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-36615: Peter Nguyen Hoang Vu (@peternguyen14) fra STAR Labs

Oppføring lagt til 11. mai 2023

FontParser

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av en skadelig tekstfil kan føre til at vilkårlig kode utføres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2021-1790: Peter Nguyen Vu Hoang fra STAR Labs

Oppføring lagt til 25. mai 2022

FontParser

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av en skadelig font kan føre til utføring av vilkårlig kode

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2021-1775: Mickey Jin og Qi Sun fra Trend Micro i samarbeid med Trend Micro Zero Day Initiative

Oppføring lagt til 25. oktober 2021

FontParser

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et skadelig program kan være i stand til å lese begrenset minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-29629: en anonym forsker

Oppføring lagt til 25. oktober 2021

FontParser

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-27942: en anonym forsker

Oppføring lagt til 25. oktober 2021

FontParser

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Oppføring lagt til 14. desember 2020

FontParser

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-27952: en anonym forsker, Mickey Jin og Junzhi Lu fra Trend Micro

Oppføring lagt til 14. desember 2020

FontParser

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-9956: Mickey Jin og Junzhi Lu fra Trend Micro Mobile Security Research Team i samarbeid med Trend Micro Zero Day Initiative

Oppføring lagt til 14. desember 2020

FontParser

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Det var et problem med skadet minne i håndteringen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.

CVE-2020-27931: Apple

Oppføring lagt til 14. desember 2020

FontParser

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av en skadelig font kan føre til utføring av vilkårlig kode. Apple er klar over rapporter om at det finnes en måte å utnytte dette på.

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.

CVE-2020-27930: Google Project Zero

FontParser

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-27927: Xingwei Lin fra Ant Security Light-Year Lab

FontParser

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-29639: Mickey Jin og Qi Sun i Trend Micro i samarbeid med Trend Micros Zero Day Initiative

Oppføring lagt til 21. juli 2021

Foundation

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En lokal bruker kan være i stand til å lese vilkårlige filer

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-10002: James Hutchins

HomeKit

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En angriper med nettverksrettigheter kan være i stand til å modifisere programtilstanden på en uventet måte

Beskrivelse: Problemet ble løst gjennom forbedret innstillingspropagering.

CVE-2020-9978: Luyi Xing, Dongfang Zhao og Xiaofeng Wang ved Indiana University Bloomington, Yan Jia ved Xidian University og University of Chinese Academy of Sciences og Bin Yuan ved HuaZhong University of Science and Technology

Oppføring lagt til 14. desember 2020

ImageIO

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-9955: Mickey Jin fra Trend Micro og Xingwei Lin fra Ant Security Light-Year Lab

Oppføring lagt til 14. desember 2020

ImageIO

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-27924: Lei Sun

Oppføring lagt til 14. desember 2020

ImageIO

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-27912: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2020-27923: Lei Sun

Oppføring oppdatert 14. desember 2020

ImageIO

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-9876: Mickey Jin fra Trend Micro

Intel Graphics Driver

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-10015: ABC Research s.r.o. i samarbeid med Trend Micro Zero Day Initiative

CVE-2020-27897: Xiaolong Bai og Min (Spark) Zheng fra Alibaba Inc. og Luyi Xing ved Indiana University Bloomington

Oppføring lagt til 14. desember 2020

Intel Graphics Driver

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.

CVE-2020-27907: ABC Research s.r.o. i samarbeid med Trend Micro Zero Day Initiative, Liu Long fra Ant Security Light-Year Lab

Oppføring lagt til 14. desember 2020, oppdatert 16. mars 2021

Image Processing

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-27919: Hou JingYi (@hjy79425575) fra Qihoo 360 CERT, Xingwei Lin fra Ant Security Light-Year Lab

Oppføring lagt til 14. desember 2020

Kernel

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En ekstern angriper kan forårsake uventet systemavslutning eller skadet kjerneminne

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Oppføring lagt til 14. desember 2020

Kernel

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2020-9975: Tielei Wang fra Pangu Lab

Oppføring lagt til 14. desember 2020

Kernel

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.

CVE-2020-27921: Linus Henze (pinauten.de)

Oppføring lagt til 14. desember 2020

Kernel

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Det var et logisk problem som førte til minnekorrupsjon. Dette ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-27904: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqong Security Lab

Kernel

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å injisere i aktive forbindelser innenfor en VPN-tunnel

Beskrivelse: Et problem med ruting ble løst gjennom forbedrede restriksjoner.

CVE-2019-14899: William J. Tolley, Beau Kujath og Jedidiah R. Crandall

Kernel

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En skadelig app kan være i stand til å avdekke kjerneminnet. Apple er klar over rapporter om at det finnes en måte å utnytte dette på.

Beskrivelse: Et problem med initialisering av minne ble løst.

CVE-2020-27950: Google Project Zero

Kernel

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med sikkerhetsbrud i minnet ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-10016: Alex Helie

Kernel

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter. Apple er klar over rapporter om at det finnes en måte å utnytte dette på.

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-27932: Google Project Zero

libxml2

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2020-27917: funnet av OSS-Fuzz

CVE-2020-27920: funnet av OSS-Fuzz

Oppføring oppdatert 14. desember 2020

libxml2

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode

Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.

CVE-2020-27911: funnet av OSS-Fuzz

libxpc

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et skadelig program kan være i stand til å utvide rettigheter

Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.

CVE-2020-9971: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab

Oppføring lagt til 14. desember 2020

libxpc

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et skadelig program kan kanskje bryte ut av sandkassen sin

Beskrivelse: Et tolkningsproblem i håndteringen av katalogbaner ble løst gjennom forbedret banevalidering.

CVE-2020-10014: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab

Logging

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine

Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.

CVE-2020-10010: Tommy Muir (@Muirey03)

Mail

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En ekstern angriper kan uventet få tilgang til å endre programtilstand

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2020-9941: Fabian Ising ved Fachhochschule Münster og Damian Poddebniak ved Fachhochschule Münster

Messages

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En lokal bruker kan være i stand til å finne en brukers slettede meldinger

Beskrivelse: Problemet ble løst gjennom forbedret sletting.

CVE-2020-9988: William Breuer fra Nederland

CVE-2020-9989: von Brunn Media

Model I/O

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandlingen av en skadelig USD-fil kan føre til uventet programavslutning eller kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-10011: Aleksandar Nikolic fra Cisco Talos

Oppføring lagt til 14. desember 2020

Model I/O

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandlingen av en skadelig USD-fil kan føre til uventet programavslutning eller kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-13524: Aleksandar Nikolic fra Cisco Talos

Model I/O

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Å åpne en skadelig fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-10004: Aleksandar Nikolic fra Cisco Talos

NetworkExtension

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et skadelig program kan være i stand til å utvide rettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2020-9996: Zhiwei Yuan fra Trend Micro iCore Team, Junzhi Lu og Mickey Jin fra Trend Micro

NSRemoteView

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2020-27901: Thijs Alkemade fra Computest Research Division

Oppføring lagt til 14. desember 2020

NSRemoteView

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et skadelig program kan klare å forhåndsvise filer det ikke har tilgang til

Beskrivelse: Det var et problem med håndteringen av øyeblikksbilder. Problemet ble løst med forbedret tillatelseslogikk.

CVE-2020-27900: Thijs Alkemade fra Computest Research Division

PCRE

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Flere problemer i pcre

Beskrivelse: Flere problemer ble løst ved å oppdatere til versjon 8.44.

CVE-2019-20838

CVE-2020-14155

Power Management

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-10007: singi@theori i samarbeid med Trend Micro Zero Day Initiative

python

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Informasjonskapsler som tilhører ett opphav kan bli sendt til et annet opphav

Beskrivelse: Flere problemer ble løst gjennom forbedret logikk.

CVE-2020-27896: en anonym forsker

Quick Look

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En skadelig app kan være i stand til å fastslå at filer eksisterer på datamaskinen

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symbolbuffere.

CVE-2020-9963: Csaba Fitzl (@theevilbit) fra Offensive Security

Quick Look

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av et skadelig dokument kan føre til et skriptangrep mellom nettsteder

Beskrivelse: Et problem med tilgang ble løst med forbedrede tilgangsrestriksjoner.

CVE-2020-10012: Heige fra KnownSec 404 Team (knownsec.com) og Bo Qu fra Palo Alto Networks (paloaltonetworks.com)

Oppføring oppdatert 16. mars 2021

Ruby

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En ekstern angriper kan modifisere filsystemet

Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.

CVE-2020-27896: en anonym forsker

Ruby

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Ved tolking av visse JSON-dokumenter kan json-edelsteinen tvinges til å opprette vilkårlige objekter på målsystemet

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2020-10663: Jeremy Evans

Safari

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Det var et problem med forfalskning i håndteringen av URL-adresser. Problemet ble løst gjennom forbedret validering av inndata.

CVE-2020-9945: Narendra Bhati fra Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati

Safari

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et skadelig program kan være i stand til å fastslå brukerens åpne faner i Safari

Beskrivelse: Det var et valideringsproblem i rettighetsverifiseringen. Problemet ble løst gjennom forbedret validering av prosessrettigheten.

CVE-2020-9977: Josh Parnham (@joshparnham)

Safari

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-9942: en anonym forsker, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora) ved The City School, PAF Chapter, Ruilin Yang fra Tencent Security Xuanwu Lab, YoKo Kho (@YoKoAcc) fra PT Telekomunikasi Indonesia (Persero) Tbk, Zhiyang Zeng(@Wester) fra OPPO ZIWU Security Lab

Safari

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering

Beskrivelse: Besøk på et skadelig nettsted kan føre til falske adresselinjer.

CVE-2020-9987: Rafay Baloch (cybercitadel.com) fra Cyber Citadel

Oppføring lagt til 21. juli 2021

Sandbox

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et lokalt program kan være i stand til å regne opp antall iCloud-dokumenter brukeren har

Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.

CVE-2021-1803: Csaba Fitzl (@theevilbit) fra Offensive Security

Oppføring lagt til 16. mars 2021

Sandbox

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En lokal bruker kan være i stand til å se sensitiv brukerinformasjon

Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.

CVE-2020-9969: Wojciech Reguła fra SecuRing (wojciechregula.blog)

Screen Sharing

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En bruker med skjermdelingstilgang kan være i stand til å se en annen brukers skjerm

Beskrivelse: Det var et problem med skjermdeling. Problemet ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-27893: pcsgomes

Oppføring lagt til 16. mars 2021

Siri

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En person med fysisk tilgang til en iOS-enhet kan få tilgang til kontakter fra låst skjerm

Beskrivelse: Et problem med den låste skjermen ga tilgang til kontaktene på en låst enhet. Problemet ble løst gjennom forbedret tilstandshåndtering.

CVE-2021-1755: Yuval Ron, Amichai Shulman og Eli Biham fra Technion – det israelske instituttet for teknologi

Oppføring lagt til 16. mars 2021

smbx

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En angriper med forhøyet tilgang i nettverket kan forårsake tjenestenekt

Beskrivelse: Et problem med tømming av ressurser ble løst gjennom forbedret validering av inndata.

CVE-2020-10005: Apple

Oppføring lagt til 25. oktober 2021

SQLite

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En ekstern angriper kan forårsake tjenestenekt

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2020-9991

SQLite

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En ekstern angriper kan lekke minne

Beskrivelse: Et problem med informasjonsavsløring ble løst med forbedret tilstandshåndtering.

CVE-2020-9849

SQLite

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Flere problemer i SQLite

Beskrivelse: Flere problemer ble løst gjennom forbedrede kontroller.

CVE-2020-15358

SQLite

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En skadelig SQL-spørring kan føre til korrupsjon av data

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2020-13631

SQLite

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En ekstern angriper kan forårsake tjenestenekt

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

SQLite

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-13630

Symptom Framework

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2020-27899: 08Tc3wBB i samarbeid med ZecOps

Oppføring lagt til 14. desember 2020

System Preferences

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-10009: Thijs Alkemade fra Computest Research Division

TCC

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et skadelig program med rotrettigheter kan få tilgang til personlig informasjon

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2020-10008: Wojciech Reguła fra SecuRing (wojciechregula.blog)

Oppføring lagt til 14. desember 2020

WebKit

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2020-27918: Liu Long fra Ant Security Light-Year Lab

Oppføring oppdatert 14. desember 2020

WebKit

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring

Beskrivelse: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode.

CVE-2020-9947: cc i samarbeid med Trend Micro Zero Day Initiative

CVE-2020-9950: cc i samarbeid med Trend Micro Zero Day Initiative

Oppføring lagt til 21. juli 2021

Wi-Fi

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En angriper kan være i stand til å omgå Managed Frame Protection

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-27898: Stephan Marais ved University of Johannesburg

XNU

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner

Beskrivelse: Flere problemer ble løst gjennom forbedret logikk.

CVE-2020-27935: Lior Halphon (@LIJI32)

Oppføring lagt til 17. desember 2020

Xsan

Tilgjengelig for: Mac Pro (2013 og nyere), MacBook Air (2013 og nyere), MacBook Pro (sent i 2013 og nyere), Mac mini (2014 og nyere), iMac (2014 og nyere), MacBook (2015 og nyere), iMac Pro (alle modeller)

Virkning: Et skadelig program kan få tilgang til begrensede filer

Beskrivelse: Problemet ble løst gjennom forbedret rettighetstildeling.

CVE-2020-10006: Wojciech Reguła (@_r3ggi) fra SecuRing

Ytterligere anerkjennelser

802.1X

Vi vil gjerne takke Kenana Dalle fra Hamad bin Khalifa-universitetet og Ryan Riley fra Carnegie Mellon-universitetet i Qatar for hjelpen.

Oppføring lagt til 14. desember 2020

Audio

Vi vil gjerne takke JunDong Xie og Xingwei Lin fra Ant-Financial Light-Year Security Lab og Marc Schoenefeld Dr. rer. nat. for hjelpen.

Oppføring oppdatert 16. mars 2021

Bluetooth

Vi vil gjerne takke Andy Davis fra NCC Group, Dennis Heinze (@ttdennis) ved TU Darmstadt, Secure Mobile Networking Lab for hjelpen.

Oppføring oppdatert 14. desember 2020

Clang

Vi vil gjerne takke Brandon Azad fra Google Project Zero for hjelpen.

Core Location

Vi vil gjerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjelpen.

Crash Reporter

Vi vil gjerne takke Artur Byszko fra AFINE for hjelpen.

Oppføring lagt til 14. desember 2020

Directory Utility

Vi vil gjerne takke Wojciech Reguła (@_r3ggi) fra SecuRing for hjelpen.

iAP

Vi vil gjerne takke Andy Davis fra NCC Group for hjelpen.

Kernel

Vi vil gjerne takke Brandon Azad fra Google Project Zero og Stephen Röttger fra Google for hjelpen.

libxml2

Vi vil gjerne takke en anonym forsker for hjelpen.

Oppføring lagt til 14. desember 2020

Login Window

Vi vil gjerne takke Rob Morton fra Leidos for hjelpen.

Oppføring lagt til 16. mars 2021

Login Window

Vi vil gjerne takke Rob Morton fra Leidos for hjelpen.

Photos Storage

Vi vil gjerne takke Paulos Yibelo fra LimeHats for hjelpen.

Quick Look

Vi vil gjerne takke Csaba Fitzl (@theevilbit) og Wojciech Reguła fra SecuRing (wojciechregula.blog) for hjelpen.

Safari

Vi vil gjerne takke Gabriel Corona og Narendra Bhati fra Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati for hjelpen.

Sandbox

Vi vil gjerne takke Saagar Jha for hjelpen.

Oppføring lagt til 11. mai 2023

Security

Vi vil gjerne takke Christian Starkjohann fra Objective Development Software GmbH for hjelpen.

System Preferences

Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjelpen.

Oppføring lagt til 16. mars 2021

System Preferences

Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjelpen.

WebKit

Maximilian Blochberger fra gruppen Security in Distributed Systems ved universitetet i Hamburg

Oppføring lagt til 25. mai 2022

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: