Zawartość związana z zabezpieczeniami w systemie macOS Catalina 10.15.7, uaktualnieniu zabezpieczeń 2020-005 High Sierra i uaktualnieniu zabezpieczeń 2020-005 Mojave

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Catalina 10.15.7, uaktualnieniu zabezpieczeń 2020-005 High Sierra i uaktualnieniu zabezpieczeń 2020-005 Mojave.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

macOS Catalina 10.15.7, uaktualnienie zabezpieczeń 2020-005 High Sierra i uaktualnienie zabezpieczeń 2020-005 Mojave

Wydano 24 września 2020 r.

CoreAudio

Dostępne dla: systemu macOS Catalina 10.15

Zagrożenie: odtworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2020-9954: Francis w ramach programu Zero Day Initiative firmy Trend Micro, JunDong Xie z Ant Group Light-Year Security Lab

Wpis dodano 12 listopada 2020 r.

Lokalizator

Dostępne dla: systemu macOS Catalina 10.15

Zagrożenie: złośliwa aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: w przypadku niektórych plików w katalogu domowym występował błąd dostępu do pliku. Ten błąd naprawiono przez poprawienie ograniczeń dostępu.

CVE-2020-9986: Tim Kornhuber, Milan Stute i Alexander Heinrich z TU Darmstadt, Secure Mobile Networking Lab

Wpis dodano 12 listopada 2020 r.

ImageIO

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9961: Xingwei Lin z Ant Security Light-Year Lab

Wpis uaktualniono 12 listopada 2020 r.

libxml2

Dostępne dla: systemów macOS Mojave 10.14.6 i macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2020-9981: wykryte przez OSS-Fuzz

Wpis dodano 12 listopada 2020 r., uaktualniono 16 marca 2021 r.

Mail

Dostępne dla: systemu macOS High Sierra 10.13.6

Zagrożenie: osoba atakująca zdalnie może być w stanie nieoczekiwanie zmienić stan aplikacji.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2020-9941: Fabian Ising z FH Münster University of Applied Sciences oraz Damian Poddebniak z FH Münster University of Applied Sciences

Model I/O

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: przetworzenie złośliwie spreparowanego pliku USD może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-10011: Aleksandar Nikolic z Cisco Talos

CVE-2020-9973: Aleksandar Nikolic z Cisco Talos

Wpis uaktualniono 12 listopada 2020 r.

Model I/O

Dostępne dla: systemów macOS Mojave 10.14.6, macOS Catalina 10.15

Zagrożenie: przetworzenie złośliwie spreparowanego pliku USD może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-13520: Aleksandar Nikolic z Cisco Talos

Wpis dodano 12 listopada 2020 r.

Piaskownica

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do plików objętych ograniczeniami.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2020-9968: Adam Chester (@_xpn_) z TrustedSec

Wpis uaktualniono 12 listopada 2020 r.

Wi-Fi

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2020-10013: Yu Wang z Didi Research America

Wpis dodano 16 marca 2021 r.

Dodatkowe podziękowania

Bluetooth

Dziękujemy za udzieloną pomoc: Andy Davis z NCC Group.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: