Om sikkerhetsinnholdet i macOS Catalina 10.15.7, Sikkerhetsoppdatering 2020-005 High Sierra og Sikkerhetsoppdatering 2020-005 Mojave

I dette dokumentet beskrives sikkerhetsinnholdet i macOS Catalina 10.15.7, Sikkerhetsoppdatering 2020-005 High Sierra og Sikkerhetsoppdatering 2020-005 Mojave.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

macOS Catalina 10.15.7, Sikkerhetsoppdatering 2020-005 High Sierra, Sikkerhetsoppdatering 2020-005 Mojave

CoreAudio

Tilgjengelig for: macOS Catalina 10.15

Virkning: Avspilling av en skadelig lydfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2020-9954: Francis i samarbeid med Trend Micro Zero Day Initiative, JunDong Xie fra Ant Group Light-Year Security Lab

Hvor er?

Tilgjengelig for: macOS Catalina 10.15

Virkning: Et ondsinnet program kan være i stand til å lese sensitiv stedsinformasjon

Beskrivelse: Det var et problem med tilgang til enkelte filer i Hjem-mappen. Dette ble løst gjennom forbedring av tilgangsrestriksjoner.

CVE-2020-9986: Tim Kornhuber, Milan Stute og Alexander Heinrich ved TU Darmstadt, Secure Mobile Networking Lab

ImageIO

Tilgjengelig for: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 og macOS Catalina 10.15

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-9961: Xingwei Lin fra Ant Security Light-Year Lab

libxml2

Tilgjengelig for: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Virkning: Behandling av en skadelig fil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2020-9981: funnet av OSS-Fuzz

E-post

Tilgjengelig for: macOS High Sierra 10.13.6

Virkning: En ekstern angriper kan uventet få tilgang til å endre programtilstand

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2020-9941: Fabian Ising ved Fachhochschule Münster og Damian Poddebniak ved Fachhochschule Münster

Model I/O

Tilgjengelig for: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 og macOS Catalina 10.15

Virkning: Behandling av en skadelig USD-fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-10011: Aleksandar Nikolic fra Cisco Talos

CVE-2020-9973: Aleksandar Nikolic fra Cisco Talos

Model I/O

Tilgjengelig for: macOS Mojave 10.14.6, macOS Catalina 10.15

Virkning: Behandling av en skadelig USD-fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-13520: Aleksandar Nikolic fra Cisco Talos

Sandkasse

Tilgjengelig for: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 og macOS Catalina 10.15

Virkning: Et skadelig program kan få tilgang til begrensede filer

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2020-9968: Adam Chester (@_xpn_) fra TrustedSec

Wi-Fi

Tilgjengelig for: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 og macOS Catalina 10.15

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-10013: Yu Wang fra Didi Research America

Ytterligere anerkjennelse

Bluetooth

Vi vil gjerne takke Andy Davis fra NCC Group for hjelpen.