Zawartość związana z zabezpieczeniami w systemie macOS Big Sur 11.0.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Big Sur 11.0.1.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

macOS Big Sur 11.0.1

Wydano 12 listopada 2020 r.

App Store

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2020-27903: Zhipeng Huo (@R3dF09) z Tencent Security Xuanwu Lab

Dźwięk

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-27910: JunDong Xie i XingWei Lin z Ant Security Light-Year Lab

Dźwięk

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-27916: JunDong Xie z Ant Security Light-Year Lab

Dźwięk

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: złośliwa aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9943: JunDong Xie z Ant Group Light-Year Security Lab

Dźwięk

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9944: JunDong Xie z Ant Group Light-Year Security Lab

Bluetooth

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie sterty.

Opis: rozwiązano wiele błędów przepełnienia całkowitoliczbowego przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-27906: Zuozhi Fan (@pattern_F_) z Ant Group Tianqiong Security Lab

CoreAudio

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-10017: Francis w ramach programu Zero Day Initiative firmy Trend Micro, JunDong Xie z Ant Security Light-Year Lab

CoreCapture

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2020-9949: Proteas

CoreGraphics

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9883: anonimowy badacz, Mickey Jin z Trend Micro

Crash Reporter

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: lokalny atakujący może być w stanie podwyższyć swój poziom uprawnień.

Opis: w logice sprawdzania poprawności ścieżek dowiązań symbolicznych występował błąd. Ten problem rozwiązano przez poprawienie mechanizmu oczyszczania ścieżek.

CVE-2020-10003: Tim Michaud (@TimGMichaud) z Leviathan

CoreText

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: przetworzenie złośliwie spreparowanego pliku tekstowego może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2020-9999: Mickey Jin i Junzhi Lu z Trend Micro

Obrazy dysków

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Finder

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: użytkownik może nie być w stanie usunąć metadanych wskazujących, skąd pobrano pliki.

Opis: problem rozwiązano przez zastosowanie dodatkowych elementów sterujących użytkownika.

CVE-2020-27894: Manuel Trezza z Shuggr (shuggr.com)

FontParser

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: przetworzenie złośliwie spreparowanej czcionki może doprowadzić do wykonania dowolnego kodu. Firma Apple wie o istnieniu publicznie dostępnego eksploita wykorzystującego tę lukę.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-27930: Google Project Zero

FontParser

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-27927: Xingwei Lin z Ant Security Light-Year Lab

Foundation

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: użytkownik lokalny może być w stanie odczytywać dowolne pliki.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2020-10002: James Hutchins

ImageIO

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-27912: Xingwei Lin z Ant Security Light-Year Lab

ImageIO

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9876: Mickey Jin z Trend Micro

Jądro

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: występował błąd logiczny powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2020-27904: Zuozhi Fan (@pattern_F_) z Ant Group Tianqong Security Lab

Jądro

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może włamać się do aktywnych połączeń w tunelu VPN.

Opis: rozwiązano problem z routingiem przez poprawienie ograniczeń.

CVE-2019-14899: William J. Tolley, Beau Kujath i Jedidiah R. Crandall

Jądro

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: złośliwa aplikacja może być w stanie ujawnić pamięć jądra. Firma Apple wie o istnieniu publicznie dostępnego eksploita wykorzystującego tę lukę.

Opis: rozwiązano problem z inicjalizacją pamięci.

CVE-2020-27950: Google Project Zero

Jądro

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: złośliwa aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2020-9974: Tommy Muir (@Muirey03)

Jądro

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2020-10016: Alex Helie

Jądro

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra. Firma Apple wie o istnieniu publicznie dostępnego eksploita wykorzystującego tę lukę.

Opis: naprawiono błąd nieprawidłowego rozpoznawania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2020-27932: Google Project Zero

libxml2

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2020-27917: wykryte przez OSS-Fuzz

libxml2

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-27911: wykryte przez OSS-Fuzz

libxpc

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: złośliwa aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: poprawiono mechanizm sprawdzania poprawności ścieżek w celu naprawiono błędu analizy składniowej w obsłudze ścieżek katalogowych.

CVE-2020-10014:  Zhipeng Huo (@R3dF09) z Tencent Security Xuanwu Lab

Rejestrowanie

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: lokalny atakujący może być w stanie podwyższyć swój poziom uprawnień.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2020-10010: Tommy Muir (@Muirey03)

Mail

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: osoba atakująca zdalnie może być w stanie nieoczekiwanie zmienić stan aplikacji.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2020-9941: Fabian Ising z FH Münster University of Applied Sciences oraz Damian Poddebniak z FH Münster University of Applied Sciences

Wiadomości

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: użytkownik lokalny może uzyskać dostęp do usuniętych wiadomości użytkownika.

Opis: ten błąd naprawiono przez poprawienie mechanizmu usuwania.

CVE-2020-9988: William Breuer z Holandii

CVE-2020-9989: von Brunn Media

Model I/O

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: przetworzenie złośliwie spreparowanego pliku USD może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-13524: Aleksandar Nikolic z Cisco Talos

Model I/O

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: otwarcie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2020-10004: Aleksandar Nikolic z Cisco Talos

NetworkExtension

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: złośliwa aplikacja może zdobyć podwyższone uprawnienia.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2020-9996: Zhiwei Yuan z Trend Micro iCore Team, Junzhi Lu i Mickey Jin z Trend Micro

NSRemoteView

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: złośliwa aplikacja może być w stanie wyświetlić podgląd plików, do których nie ma dostępu.

Opis: w procedurze obsługi migawek występował błąd. Ten błąd naprawiono przez poprawienie procedur obsługi procesów logicznych uprawnień.

CVE-2020-27900: Thijs Alkemade z Computest Research Division

PCRE

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: liczne błędy w bibliotece pcre.

Opis: naprawiono liczne błędy przez uaktualnienie wersji do 8.44.

CVE-2019-20838

CVE-2020-14155

Zarządzanie energią

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: złośliwa aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2020-10007: singi@theori w ramach programu Zero Day Initiative firmy Trend Micro

python

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: pliki cookie należące do jednego źródła mogą zostać wysłane do innego źródła.

Opis: rozwiązano wiele problemów przez poprawienie logiki.

CVE-2020-27896: anonimowy badacz

Szybki przegląd

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: złośliwa aplikacja może być w stanie ustalić istnienie plików na komputerze.

Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych ikon.

CVE-2020-9963: Csaba Fitzl (@theevilbit) z Offensive Security

Szybki przegląd

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: przetworzenie złośliwie spreparowanego dokumentu może spowodować atak XSS (cross-site-scripting).

Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.

CVE-2020-10012: Heige z KnownSec 404 Team (https://www.knownsec.com/) i Bo Qu z Palo Alto Networks (https://www.paloaltonetworks.com/)

Ruby

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: osoba atakująca zdalnie może być w stanie zmodyfikować system plików.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2020-27896: anonimowy badacz

Ruby

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: podczas analizowania określonych dokumentów JSON gem JSON może być zmuszony do tworzenia dowolnych obiektów w systemie docelowym.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2020-10663: Jeremy Evans

Safari

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.

Opis: w procedurze obsługi adresów URL występował błąd umożliwiający fałszowanie. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9945: Narendra Bhati z Suma Soft Pvt. Ltd. Pune (Indie) @imnarendrabhati

Safari

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: złośliwa aplikacja może być w stanie określić karty otwarte przez użytkownika w przeglądarce Safari.

Opis: w weryfikacji uprawnień występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności uprawnień procesów.

CVE-2020-9977: Josh Parnham (@joshparnham)

Safari

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.

Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.

CVE-2020-9942: anonimowy badacz, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora) z The City School, PAF Chapter, Ruilin Yang z Tencent Security Xuanwu Lab, YoKo Kho (@YoKoAcc) z PT Telekomunikasi Indonesia (Persero) Tbk, Zhiyang Zeng(@Wester) z OPPO ZIWU Security Lab

Piaskownica

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: użytkownik lokalny może wyświetlić poufne informacje użytkownika.

Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2020-9969: Wojciech Reguła z SecuRing (wojciechregula.blog)

SQLite

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2020-9991

SQLite

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: osoba atakująca zdalnie może ujawnić zawartość pamięci.

Opis: usunięto błąd dotyczący ujawniania pamięci przez poprawienie mechanizmu zarządzania stanem.

CVE-2020-9849

SQLite

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: wiele błędów w oprogramowaniu SQLite.

Opis: naprawiono liczne błędy przez uaktualnienie oprogramowania SQLite do wersji 3.32.3.

CVE-2020-15358

SQLite

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: złośliwie spreparowane zapytanie SQL może doprowadzić do uszkodzenia danych.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2020-13631

SQLite

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

SQLite

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2020-13630

Preferencje systemowe

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2020-10009: Thijs Alkemade z Computest Research Division

WebKit

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2020-27918: anonimowy badacz

Wi-Fi

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: osoba atakująca może być w stanie pominąć mechanizm Managed Frame Protection.

Opis: naprawiono błąd podatności na atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.

CVE-2020-27898: Stephan Marais z University of Johannesburg

Xsan

Dostępne dla: komputera Mac Pro (2013 r. i nowszych), MacBooka Air (2013 r. i nowszych), MacBooka Pro (koniec 2013 r. i nowszych), komputera Mac mini (2014 r. i nowszych), komputera iMac (2014 r. i nowszych), MacBooka (2015 r. i nowszych), komputera iMac Pro (wszystkie modele)

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do plików objętych ograniczeniami.

Opis: ten błąd naprawiono przez poprawienie mechanizmu obsługi uprawnień.

CVE-2020-10006: Wojciech Reguła (@_r3ggi) z SecuRing

Dodatkowe podziękowania

Dźwięk

Dziękujemy za udzieloną pomoc: JunDong Xie i XingWei Lin z Ant-financial Light-Year Security Lab, anonimowy badacz.

Bluetooth

Dziękujemy za udzieloną pomoc: Dennis Heinze (@ttdennis) z TU Darmstadt, Secure Mobile Networking Lab.

Clang

Dziękujemy za udzieloną pomoc: Brandon Azad z Google Project Zero.

Core Location

Dziękujemy za udzieloną pomoc: Yiğit Can YILMAZ (@yilmazcanyigit).

Narzędzie katalogowe

Dziękujemy za udzieloną pomoc: Wojciech Reguła (@_r3ggi) z SecuRing.

iAP

Dziękujemy za udzieloną pomoc: Andy Davis z NCC Group.

Jądro

Dziękujemy za udzieloną pomoc: Brandon Azad z Google Project Zero, Stephen Röttger z Google.

Okno logowania

Dziękujemy za udzieloną pomoc: Rob Morton z Leidos.

Pamięć aplikacji Zdjęcia

Dziękujemy za udzieloną pomoc: Paulos Yibelo z LimeHats.

Szybki przegląd

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) i Wojciech Reguła z SecuRing (wojciechregula.blog).

Safari

Dziękujemy za udzieloną pomoc: Gabriel Corona i Narendra Bhati z Suma Soft Pvt. Ltd. Pune (Indie) @imnarendrabhati.

Zabezpieczenia

Dziękujemy za udzieloną pomoc: Christian Starkjohann z Objective Development Software GmbH.

Preferencje systemowe

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Offensive Security.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: