Zawartość związana z zabezpieczeniami w systemie macOS Catalina 10.15.6, uaktualnieniu zabezpieczeń 2020-004 Mojave oraz uaktualnieniu zabezpieczeń 2020-004 High Sierra.

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Catalina 10.15.6, uaktualnieniu zabezpieczeń 2020-004 Mojave oraz uaktualnieniu zabezpieczeń 2020-004 High Sierra.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

System macOS Catalina 10.15.6, uaktualnienie zabezpieczeń 2020-004 Mojave oraz uaktualnienie zabezpieczeń 2020-004 High Sierra

Wydano 15 lipca 2020 r.

AMD

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9927: Lilang Wu w ramach programu Zero Day Initiative firmy Trend Micro

Wpis uaktualniono 5 sierpnia 2020 r.

Dźwięk

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9884: Yu Zhou (@yuzhou6666) z 小鸡帮 w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2020-9889: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro, JunDong Xie i XingWei Lin z Ant-financial Light-Year Security Lab

Wpis uaktualniono 5 sierpnia 2020 r.

Dźwięk

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9888: JunDong Xie i XingWei Lin z Ant-financial Light-Year Security Lab

CVE-2020-9890: JunDong Xie i XingWei Lin z Ant-financial Light-Year Security Lab

CVE-2020-9891: JunDong Xie i XingWei Lin z Ant-financial Light-Year Security Lab

Wpis uaktualniono 5 sierpnia 2020 r.

Bluetooth

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2020-9928: Yu Wang z Didi Research America

Wpis dodano 5 sierpnia 2020 r.

Bluetooth

Dostępne dla: systemów macOS Mojave 10.14.6, macOS Catalina 10.15.5

Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2020-9929: Yu Wang z Didi Research America

Wpis dodano 5 sierpnia 2020 r.

Clang

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: Clang może generować kod maszynowy, który nie egzekwuje poprawnie kodów identyfikacji wskaźnika.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2020-9870: Samuel Groß z Google Project Zero

CoreAudio

Dostępne dla: systemu macOS High Sierra 10.13.6

Zagrożenie: przepełnienie buforu może spowodować wykonanie dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9866: Yu Zhou z 小鸡帮 i Jundong Xie z Ant-financial Light-Year Security Lab

Core Bluetooth

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2020-9869: Patrick Wardle z Jamf

Wpis dodano 5 sierpnia 2020 r.

CoreCapture

Dostępne dla: systemów macOS Mojave 10.14.6 i macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2020-9949: Proteas

Wpis dodano 12 listopada 2020 r.

CoreFoundation

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: użytkownik lokalny może wyświetlić poufne informacje użytkownika.

Opis: w procedurze obsługi zmiennych środowiskowych występował błąd. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.

CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)

Wpis uaktualniono 5 sierpnia 2020 r.

CoreGraphics

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2020-9883: anonimowy badacz, Mickey Jin z Trend Micro

Wpis dodano 24 lipca 2020 r., uaktualniono 12 listopada 2020 r.

Crash Reporter

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: złośliwa aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd powodujący uszkodzenie pamięci przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2020-9865: Zhuo Liang z Qihoo 360 Vulcan Team w ramach 360 BugCloud

Crash Reporter

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: lokalny atakujący może być w stanie podwyższyć swój poziom uprawnień.

Opis: w logice sprawdzania poprawności ścieżek dowiązań symbolicznych występował błąd. Ten problem rozwiązano przez poprawienie mechanizmu oczyszczania ścieżek.

CVE-2020-9900: Zhongcheng Li (CK01) z Zero-dayits Team of Legendsec w Qi'anxin Group

Wpis dodano 5 sierpnia 2020 r.

FontParser

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9980: Xingwei Lin z Ant Security Light-Year Lab

Wpis dodano 21 września 2020 r., uaktualniono 19 października 2020 r.

Sterowniki graficzne

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9799: ABC Research s.r.o.

Wpis uaktualniono 24 lipca 2020 r.

Heimdal

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: użytkownik lokalny może ujawnić poufne informacje użytkownika.

Opis: ten błąd naprawiono przez ulepszenie ochrony danych.

CVE-2020-9913: Cody Thomas z SpecterOps

ImageIO

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-27933: Xingwei Lin (Ant-financial Light-Year Security Lab)

Wpis dodano 16 marca 2021 r.

ImageIO

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: w openEXR występowało wiele błędów powodujących przepełnienie buforu.

Opis: rozwiązano wiele problemów w openEXR przez poprawienie procedur sprawdzania.

CVE-2020-11758: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-11759: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-11760: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-11761: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-11762: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-11763: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-11764: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-11765: Xingwei Lin (Ant-financial Light-Year Security Lab)

Wpis dodano 8 września 2020 r.

ImageIO

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9871: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-9872: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-9874: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-9879: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-9936: Mickey Jin z Trend Micro

CVE-2020-9937: Xingwei Lin (Ant-financial Light-Year Security Lab)

Wpis uaktualniono 5 sierpnia 2020 r.

ImageIO

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2020-9919: Mickey Jin z Trend Micro

Wpis dodano 24 lipca 2020 r.

ImageIO

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9876: Mickey Jin z Trend Micro

Wpis dodano 24 lipca 2020 r.

ImageIO

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9873: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-9938: Xingwei Lin (Ant-financial Light-Year Security Lab)

Wpis dodano 24 lipca 2020 r.

ImageIO

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9877: Xingwei Lin (Ant-financial Light-Year Security Lab)

Wpis dodano 5 sierpnia 2020 r.

ImageIO

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9875: Mickey Jin z Trend Micro

Wpis dodano 5 sierpnia 2020 r.

ImageIO

Dostępne dla: systemów macOS Mojave 10.14.6, macOS Catalina 10.15.5

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9873: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-9938: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-9984: anonimowy badacz

Wpis dodano 21 września 2020 r.

Przetwarzanie obrazu

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku JPEG może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9887: Mickey Jin z Trend Micro

Wpis dodano 8 września 2020 r.

Sterownik graficzny Intel

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9908: Junzhi Lu(@pwn0rz) w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 24 lipca 2020 r., uaktualniono 31 sierpnia 2020 r.

Sterownik graficzny Intel

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto sytuację wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.

CVE-2020-9990: ABC Research s.r.l. w ramach projektu Zero Day Initiative firmy Trend Micro, ABC Research s.r.o. w ramach projektu Zero Day Initiative firmy Trend Micro

Wpis dodano 21 września 2020 r.

Sterownik graficzny Intel

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2020-9921: ABC Research s.r.o. w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 5 sierpnia 2020 r.

Jądro

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może włamać się do aktywnych połączeń w tunelu VPN.

Opis: rozwiązano problem z routingiem przez poprawienie ograniczeń.

CVE-2019-14899: William J. Tolley, Beau Kujath i Jedidiah R. Crandall

Jądro

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2020-9904: Tielei Wang z Pangu Lab

Wpis dodano 24 lipca 2020 r.

Jądro

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2020-9924: Matt DeVore z Google

Wpis dodano 24 lipca 2020 r.

Jądro

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2020-9892: Andy Nguyen z Google

Wpis dodano 24 lipca 2020 r.

Jądro

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2020-9863: Xinru Chi z Pangu Lab

Wpis uaktualniono 5 sierpnia 2020 r.

Jądro

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9902: Xinru Chi i Tielei Wang (Pangu Lab)

Wpis dodano 5 sierpnia 2020 r.

Jądro

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9905: Raz Mashat (@RazMashat) z ZecOps

Wpis dodano 5 sierpnia 2020 r.

Jądro

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: złośliwa aplikacja może ujawnić zastrzeżoną pamięć.

Opis: usunięto błąd dotyczący ujawniania pamięci przez poprawienie mechanizmu zarządzania stanem.

CVE-2020-9997: Catalin Valeriu Lita z SecurityScorecard

Wpis dodano 21 września 2020 r.

libxml2

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2020-9926: wykryte przez OSS-Fuzz

Wpis dodano 16 marca 2021 r.

libxpc

Dostępne dla: systemów macOS Mojave 10.14.6 i macOS High Sierra 10.13.6

Zagrożenie: złośliwie spreparowana aplikacja może nadpisać dowolne pliki.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2020-9994: Apple

Wpis dodano 21 września 2020 r.

Okno logowania

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: użytkownik może zostać nieoczekiwanie zalogowany na konto innego użytkownika.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2020-9935: anonimowy badacz

Wpis dodano 21 września 2020 r.

Mail

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-19906

Wpis dodano 24 lipca 2020 r., uaktualniono 8 września 2020 r.

Mail

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: złośliwy serwer pocztowy może nadpisać dowolne pliki poczty.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2020-9920: YongYue Wang AKA BigChan z Hillstone Networks AF Team

Wpis dodano 24 lipca 2020 r.

Mail

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości e-mail może doprowadzić do zapisu dowolnych plików.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2020-9922: Mikko Kenttälä (@Turmio_) z SensorFu

Wpis dodano 12 listopada 2020 r.

Wiadomości

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: użytkownik usunięty z grupy iMessage mógł ponownie do niej dołączyć.

Opis: w procedurze obsługi funkcji Tapback w iMessage występował błąd. Ten błąd naprawiono przez wprowadzenie dodatkowej weryfikacji.

CVE-2020-9885: anonimowy badacz, Suryansh Mansharamani z WWP High School North (medium.com/@suryanshmansha)

Model I/O

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: przetworzenie złośliwie spreparowanego pliku USD może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2020-9878: Holger Fuhrmannek z Deutsche Telekom Security

Model I/O

Dostępne dla: systemów macOS Mojave 10.14.6, macOS Catalina 10.15.5

Zagrożenie: przetworzenie złośliwie spreparowanego pliku USD może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9880: Holger Fuhrmannek z Deutsche Telekom Security

Wpis dodano 24 lipca 2020 r., uaktualniono 21 września 2020 r.

Model I/O

Dostępne dla: systemów macOS Mojave 10.14.6, macOS Catalina 10.15.5

Zagrożenie: przetworzenie złośliwie spreparowanego pliku USD może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2020-9878: Aleksandar Nikolic z Cisco Talos, Holger Fuhrmannek z Deutsche Telekom Security

CVE-2020-9881: Holger Fuhrmannek z Deutsche Telekom Security

CVE-2020-9882: Holger Fuhrmannek z Deutsche Telekom Security

CVE-2020-9940: Holger Fuhrmannek z Deutsche Telekom Security

CVE-2020-9985: Holger Fuhrmannek z Deutsche Telekom Security

Wpis dodano 24 lipca 2020 r., uaktualniono 21 września 2020 r.

OpenLDAP

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2020-12243

Wpis dodano 21 września 2020 r.

Perl

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: przepełnienie całkowitoliczbowe w kompilatorze wyrażeń regularnych Perla może umożliwić osobie atakującej zdalnie wstawienie instrukcji do skompilowanej postaci wyrażenia regularnego.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2020-10878: Hugo van der Sanden i Slaven Rezic

Wpis dodano 16 marca 2021 r.

Perl

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2020-12723: Sergey Aleynikov

Wpis dodano 16 marca 2021 r.

rsync

Dostępne dla: systemów macOS Mojave 10.14.6 i macOS High Sierra 10.13.6

Zagrożenie: osoba atakująca zdalnie może nadpisać istniejące pliki.

Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2014-9512: gaojianfeng

Wpis dodano 24 lipca 2020 r.

Piaskownica

Dostępne dla: systemów macOS Mojave 10.14.6, macOS Catalina 10.15.5

Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9930: Zhiyi Zhang z Codesafe Team, Legendsec w Qi'anxin Group

Wpis dodano 15 grudnia 2020 r.

Piaskownica

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: użytkownik lokalny może być w stanie wczytać niepodpisane rozszerzenia jądra.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2020-9939: @jinmo123, @setuid0x0_ i @insu_yun_en (@SSLab_Gatech) w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 5 sierpnia 2020 r.

Zabezpieczenia

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2020-9864: Alexander Holodny

Zabezpieczenia

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: osoba atakująca mogła podszyć się pod zaufaną witrynę internetową przy użyciu materiału klucza wspólnego dla certyfikatu dodanego przez administratora.

Opis: podczas przetwarzania certyfikatów dodanych przez administratora występował błąd sprawdzania poprawności certyfikatu. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności certyfikatu.

CVE-2020-9868: Brian Wolff z Asana

Wpis dodano 24 lipca 2020 r.

Zabezpieczenia

Dostępne dla: systemów macOS Mojave 10.14.6 i macOS High Sierra 10.13.6

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2020-9854: Ilias Morad (A2nkF)

Wpis dodano 24 lipca 2020 r.

sysdiagnose

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: lokalny atakujący może być w stanie podwyższyć swój poziom uprawnień.

Opis: w logice sprawdzania poprawności ścieżek dowiązań symbolicznych występował błąd. Ten problem rozwiązano przez poprawienie mechanizmu oczyszczania ścieżek.

CVE-2020-9901: Tim Michaud (@TimGMichaud) z Leviathan, Zhongcheng Li (CK01) z Zero-dayits Team of Legendsec w Qi'anxin Group

Wpis dodano 5 sierpnia 2020 r., uaktualniono 31 sierpnia 2020 r.

Vim

Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2019-20807: Guilherme de Almeida Suckevicz

WebDAV

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: ten błąd naprawiono przez poprawienie mechanizmu obsługi uprawnień.

CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)

Wpis dodano 8 września 2020 r.

Wi-Fi

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: osoba atakująca zdalnie może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9918: Jianjun Dai z 360 Alpha Lab w ramach 360 BugCloud (bugcloud.360.cn)

Wi-Fi

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9899: Yu Wang z Didi Research America

Wpis dodano 24 lipca 2020 r.

Wi-Fi

Dostępne dla: systemu macOS Catalina 10.15.5

Zagrożenie: osoba atakująca zdalnie może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9906: Ian Beer z Google Project Zero

Wpis dodano 24 lipca 2020 r.

Dodatkowe podziękowania

CoreFoundation

Dziękujemy za udzieloną pomoc: Bobby Pelletier.

Wpis dodano 8 września 2020 r.

ImageIO

Dziękujemy za udzieloną pomoc: Xingwei Lin z Ant-financial Light-Year Security Lab.

Wpis dodano 21 września 2020 r.

Siri

Dziękujemy za udzieloną pomoc: Yuval Ron, Amichai Shulman i Eli Biham z Technion — Israel Institute of Technology.

Wpis dodano 5 sierpnia 2020 r.

Audio USB

Dziękujemy za udzieloną pomoc: Andy Davis z NCC Group.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: