Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
System macOS Catalina 10.15.6, uaktualnienie zabezpieczeń 2020-004 Mojave oraz uaktualnienie zabezpieczeń 2020-004 High Sierra
Wydano 15 lipca 2020 r.
AMD
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-9927: Lilang Wu w ramach programu Zero Day Initiative firmy Trend Micro
Wpis uaktualniono 5 sierpnia 2020 r.
Audio
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2020-9884: Yu Zhou (@yuzhou6666) z 小鸡帮 w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2020-9889: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro, JunDong Xie i XingWei Lin z Ant-financial Light-Year Security Lab
Wpis uaktualniono 5 sierpnia 2020 r.
Audio
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2020-9888: JunDong Xie i XingWei Lin z Ant-financial Light-Year Security Lab
CVE-2020-9890: JunDong Xie i XingWei Lin z Ant-financial Light-Year Security Lab
CVE-2020-9891: JunDong Xie i XingWei Lin z Ant-financial Light-Year Security Lab
Wpis uaktualniono 5 sierpnia 2020 r.
Bluetooth
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2020-9928: Yu Wang z Didi Research America
Wpis dodano 5 sierpnia 2020 r.
Bluetooth
Dostępne dla: systemów macOS Mojave 10.14.6, macOS Catalina 10.15.5
Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2020-9929: Yu Wang z Didi Research America
Wpis dodano 5 sierpnia 2020 r.
Clang
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: Clang może generować kod maszynowy, który nie egzekwuje poprawnie kodów identyfikacji wskaźnika.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2020-9870: Samuel Groß z Google Project Zero
CoreAudio
Dostępne dla: systemu macOS High Sierra 10.13.6
Zagrożenie: przepełnienie buforu może spowodować wykonanie dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2020-9866: Yu Zhou z 小鸡帮 i Jundong Xie z Ant-financial Light-Year Security Lab
Core Bluetooth
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2020-9869: Patrick Wardle z Jamf
Wpis dodano 5 sierpnia 2020 r.
CoreCapture
Dostępne dla: systemów macOS Mojave 10.14.6 i macOS High Sierra 10.13.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2020-9949: Proteas
Wpis dodano 12 listopada 2020 r.
CoreFoundation
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: użytkownik lokalny może wyświetlić poufne informacje użytkownika.
Opis: w procedurze obsługi zmiennych środowiskowych występował błąd. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.
CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)
Wpis uaktualniono 5 sierpnia 2020 r.
CoreGraphics
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2020-9883: anonimowy badacz, Mickey Jin z Trend Micro
Wpis dodano 24 lipca 2020 r., uaktualniono 12 listopada 2020 r.
Crash Reporter
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: złośliwa aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: naprawiono błąd powodujący uszkodzenie pamięci przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2020-9865: Zhuo Liang z Qihoo 360 Vulcan Team w ramach 360 BugCloud
Crash Reporter
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: lokalny atakujący może być w stanie podwyższyć swój poziom uprawnień.
Opis: w logice sprawdzania poprawności ścieżek dowiązań symbolicznych występował błąd. Ten problem rozwiązano przez poprawienie mechanizmu oczyszczania ścieżek.
CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) — Zero-dayits Team z Legendsec w Qi'anxin Group
Wpis dodano 5 sierpnia 2020 r., uaktualniono 17 grudnia 2021 r.
FontParser
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2020-9980: Xingwei Lin z Ant Security Light-Year Lab
Wpis dodano 21 września 2020 r., uaktualniono 19 października 2020 r.
Graphics Drivers
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2020-9799: ABC Research s.r.o.
Wpis uaktualniono 24 lipca 2020 r.
Heimdal
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: użytkownik lokalny może ujawnić poufne informacje użytkownika.
Opis: ten błąd naprawiono przez ulepszenie ochrony danych.
CVE-2020-9913: Cody Thomas z SpecterOps
ImageIO
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-27933: Xingwei Lin (Ant-financial Light-Year Security Lab)
Wpis dodano 16 marca 2021 r.
ImageIO
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: w openEXR występowało wiele błędów powodujących przepełnienie buforu.
Opis: rozwiązano wiele problemów w openEXR przez poprawienie procedur sprawdzania.
CVE-2020-11758: Xingwei Lin (Ant-financial Light-Year Security Lab)
CVE-2020-11759: Xingwei Lin (Ant-financial Light-Year Security Lab)
CVE-2020-11760: Xingwei Lin (Ant-financial Light-Year Security Lab)
CVE-2020-11761: Xingwei Lin (Ant-financial Light-Year Security Lab)
CVE-2020-11762: Xingwei Lin (Ant-financial Light-Year Security Lab)
CVE-2020-11763: Xingwei Lin (Ant-financial Light-Year Security Lab)
CVE-2020-11764: Xingwei Lin (Ant-financial Light-Year Security Lab)
CVE-2020-11765: Xingwei Lin (Ant-financial Light-Year Security Lab)
Wpis dodano 8 września 2020 r.
ImageIO
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2020-9871: Xingwei Lin (Ant-financial Light-Year Security Lab)
CVE-2020-9872: Xingwei Lin (Ant-financial Light-Year Security Lab)
CVE-2020-9874: Xingwei Lin (Ant-financial Light-Year Security Lab)
CVE-2020-9879: Xingwei Lin (Ant-financial Light-Year Security Lab)
CVE-2020-9936: Mickey Jin z Trend Micro
CVE-2020-9937: Xingwei Lin (Ant-financial Light-Year Security Lab)
Wpis uaktualniono 5 sierpnia 2020 r.
ImageIO
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2020-9919: Mickey Jin z Trend Micro
Wpis dodano 24 lipca 2020 r.
ImageIO
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2020-9876: Mickey Jin z Trend Micro
Wpis dodano 24 lipca 2020 r.
ImageIO
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-9873: Xingwei Lin (Ant-financial Light-Year Security Lab)
CVE-2020-9938: Xingwei Lin (Ant-financial Light-Year Security Lab)
Wpis dodano 24 lipca 2020 r.
ImageIO
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2020-9877: Xingwei Lin (Ant-financial Light-Year Security Lab)
Wpis dodano 5 sierpnia 2020 r.
ImageIO
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-9875: Mickey Jin z Trend Micro
Wpis dodano 5 sierpnia 2020 r.
ImageIO
Dostępne dla: systemów macOS Mojave 10.14.6, macOS Catalina 10.15.5
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-9873: Xingwei Lin (Ant-financial Light-Year Security Lab)
CVE-2020-9938: Xingwei Lin (Ant-financial Light-Year Security Lab)
CVE-2020-9984: anonimowy badacz
Wpis dodano 21 września 2020 r.
Image Processing
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku JPEG może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-9887: Mickey Jin z Trend Micro
Wpis dodano 8 września 2020 r.
Intel Graphics Driver
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-9908: Junzhi Lu(@pwn0rz) w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 24 lipca 2020 r., uaktualniono 31 sierpnia 2020 r.
Intel Graphics Driver
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto sytuację wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.
CVE-2020-9990: ABC Research s.r.l. w ramach projektu Zero Day Initiative firmy Trend Micro, ABC Research s.r.o. w ramach projektu Zero Day Initiative firmy Trend Micro
Wpis dodano 21 września 2020 r.
Intel Graphics Driver
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2020-9921: ABC Research s.r.o. w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 5 sierpnia 2020 r.
Kernel
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może włamać się do aktywnych połączeń w tunelu VPN.
Opis: rozwiązano problem z routingiem przez poprawienie ograniczeń.
CVE-2019-14899: William J. Tolley, Beau Kujath i Jedidiah R. Crandall
Kernel
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2020-9904: Tielei Wang z Pangu Lab
Wpis dodano 24 lipca 2020 r.
Kernel
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2020-9924: Matt DeVore z Google
Wpis dodano 24 lipca 2020 r.
Kernel
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2020-9892: Andy Nguyen z Google
Wpis dodano 24 lipca 2020 r.
Kernel
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.
CVE-2020-9863: Xinru Chi z Pangu Lab
Wpis uaktualniono 5 sierpnia 2020 r.
Kernel
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2020-9902: Xinru Chi i Tielei Wang (Pangu Lab)
Wpis dodano 5 sierpnia 2020 r.
Kernel
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2020-9905: Raz Mashat (@RazMashat) z ZecOps
Wpis dodano 5 sierpnia 2020 r.
Kernel
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: złośliwa aplikacja może ujawnić zastrzeżoną pamięć.
Opis: usunięto błąd dotyczący ujawniania pamięci przez poprawienie mechanizmu zarządzania stanem.
CVE-2020-9997: Catalin Valeriu Lita z SecurityScorecard
Wpis dodano 21 września 2020 r.
libxml2
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2020-9926: wykryte przez OSS-Fuzz
Wpis dodano 16 marca 2021 r.
libxpc
Dostępne dla: systemów macOS Mojave 10.14.6 i macOS High Sierra 10.13.6
Zagrożenie: złośliwie spreparowana aplikacja może nadpisać dowolne pliki.
Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.
CVE-2020-9994: Apple
Wpis dodano 21 września 2020 r.
Login Window
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: użytkownik może zostać nieoczekiwanie zalogowany na konto innego użytkownika.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2020-9935: anonimowy badacz
Wpis dodano 21 września 2020 r.
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-19906
Wpis dodano 24 lipca 2020 r., uaktualniono 8 września 2020 r.
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: złośliwy serwer pocztowy może nadpisać dowolne pliki poczty.
Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.
CVE-2020-9920: YongYue Wang AKA BigChan z Hillstone Networks AF Team
Wpis dodano 24 lipca 2020 r.
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości e-mail może doprowadzić do zapisu dowolnych plików.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2020-9922: Mikko Kenttälä (@Turmio_) z SensorFu
Wpis dodano 12 listopada 2020 r.
Messages
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: użytkownik usunięty z grupy iMessage mógł ponownie do niej dołączyć.
Opis: w procedurze obsługi funkcji Tapback w iMessage występował błąd. Ten błąd naprawiono przez wprowadzenie dodatkowej weryfikacji.
CVE-2020-9885: anonimowy badacz, Suryansh Mansharamani z WWP High School North (medium.com/@suryanshmansha)
Model I/O
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: przetworzenie złośliwie spreparowanego pliku USD może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2020-9878: Holger Fuhrmannek z Deutsche Telekom Security
Model I/O
Dostępne dla: systemów macOS Mojave 10.14.6, macOS Catalina 10.15.5
Zagrożenie: przetworzenie złośliwie spreparowanego pliku USD może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2020-9880: Holger Fuhrmannek z Deutsche Telekom Security
Wpis dodano 24 lipca 2020 r., uaktualniono 21 września 2020 r.
Model I/O
Dostępne dla: systemów macOS Mojave 10.14.6, macOS Catalina 10.15.5
Zagrożenie: przetworzenie złośliwie spreparowanego pliku USD może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2020-9878: Aleksandar Nikolic z Cisco Talos, Holger Fuhrmannek z Deutsche Telekom Security
CVE-2020-9881: Holger Fuhrmannek z Deutsche Telekom Security
CVE-2020-9882: Holger Fuhrmannek z Deutsche Telekom Security
CVE-2020-9940: Holger Fuhrmannek z Deutsche Telekom Security
CVE-2020-9985: Holger Fuhrmannek z Deutsche Telekom Security
Wpis dodano 24 lipca 2020 r., uaktualniono 21 września 2020 r.
OpenLDAP
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2020-12243
Wpis dodano 21 września 2020 r.
Perl
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: przepełnienie całkowitoliczbowe w kompilatorze wyrażeń regularnych Perla może umożliwić osobie atakującej zdalnie wstawienie instrukcji do skompilowanej postaci wyrażenia regularnego.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2020-10878: Hugo van der Sanden i Slaven Rezic
Wpis dodano 16 marca 2021 r.
Perl
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2020-12723: Sergey Aleynikov
Wpis dodano 16 marca 2021 r.
rsync
Dostępne dla: systemów macOS Mojave 10.14.6 i macOS High Sierra 10.13.6
Zagrożenie: osoba atakująca zdalnie może nadpisać istniejące pliki.
Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2014-9512: gaojianfeng
Wpis dodano 24 lipca 2020 r.
Sandbox
Dostępne dla: systemów macOS Mojave 10.14.6, macOS Catalina 10.15.5
Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-9930: Zhiyi Zhang z Codesafe Team, Legendsec w Qi'anxin Group
Wpis dodano 15 grudnia 2020 r.
Sandbox
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: użytkownik lokalny może być w stanie wczytać niepodpisane rozszerzenia jądra.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2020-9939: @jinmo123, @setuid0x0_ i @insu_yun_en (@SSLab_Gatech) w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 5 sierpnia 2020 r.
Security
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2020-9864: Alexander Holodny
Security
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: osoba atakująca mogła podszyć się pod zaufaną witrynę internetową przy użyciu materiału klucza wspólnego dla certyfikatu dodanego przez administratora.
Opis: podczas przetwarzania certyfikatów dodanych przez administratora występował błąd sprawdzania poprawności certyfikatu. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności certyfikatu.
CVE-2020-9868: Brian Wolff z Asana
Wpis dodano 24 lipca 2020 r.
Security
Dostępne dla: systemów macOS Mojave 10.14.6 i macOS High Sierra 10.13.6
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2020-9854: Ilias Morad (A2nkF)
Wpis dodano 24 lipca 2020 r.
sysdiagnose
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: lokalny atakujący może być w stanie podwyższyć swój poziom uprawnień.
Opis: w logice sprawdzania poprawności ścieżek dowiązań symbolicznych występował błąd. Ten problem rozwiązano przez poprawienie mechanizmu oczyszczania ścieżek.
CVE-2020-9901: Tim Michaud (@TimGMichaud) z Leviathan, Zhongcheng Li (CK01) z Zero-dayits Team of Legendsec w Qi'anxin Group
Wpis dodano 5 sierpnia 2020 r., uaktualniono 31 sierpnia 2020 r.
Vim
Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2019-20807: Guilherme de Almeida Suckevicz
WebDAV
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.
Opis: ten błąd naprawiono przez poprawienie mechanizmu obsługi uprawnień.
CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)
Wpis dodano 8 września 2020 r.
Wi-Fi
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: osoba atakująca zdalnie może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-9918: Jianjun Dai z 360 Alpha Lab w ramach 360 BugCloud (bugcloud.360.cn)
Wi-Fi
Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-9899: Yu Wang z Didi Research America
Wpis dodano 24 lipca 2020 r.
Wi-Fi
Dostępne dla: systemu macOS Catalina 10.15.5
Zagrożenie: osoba atakująca zdalnie może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-9906: Ian Beer z Google Project Zero
Wpis dodano 24 lipca 2020 r.
Dodatkowe podziękowania
CoreFoundation
Dziękujemy za udzieloną pomoc: Bobby Pelletier.
Wpis dodano 8 września 2020 r.
ImageIO
Dziękujemy za udzieloną pomoc: Xingwei Lin z Ant-financial Light-Year Security Lab.
Wpis dodano 21 września 2020 r.
Siri
Dziękujemy za udzieloną pomoc: Yuval Ron, Amichai Shulman i Eli Biham z Technion — Israel Institute of Technology.
Wpis dodano 5 sierpnia 2020 r.
Audio USB
Dziękujemy za udzieloną pomoc: Andy Davis z NCC Group.