Despre conținutul de securitate din macOS Big Sur 11.1, actualizarea de securitate 2020-001 Catalina, actualizarea de securitate 2020-007 Mojave

Acest document descrie conținutul de securitate din macOS Big Sur 11.1, actualizarea de securitate 2020-001 Catalina, actualizarea de securitate 2020-007 Mojave.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la Securitatea produselor Apple.

macOS Big Sur 11.1, actualizarea de securitate 2020-001 Catalina, actualizarea de securitate 2020-007 Mojave

AMD

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2020-27914: Yu Wang (Didi Research America)

CVE-2020-27915: Yu Wang (Didi Research America)

AMD

Disponibilitate pentru: macOS Big Sur 11.0.1

Impact: un utilizator local ar putea cauza închiderea neașteptată a sistemului sau ar putea citi memoria kernel

Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei kernel. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2020-27936: Yu Wang (Didi Research America)

App Store

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2020-27903: Zhipeng Huo (@R3dF09) de la Tencent Security Xuanwu Lab

AppleGraphicsControl

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.

CVE-2020-27941: shrek_wzw

AppleMobileFileIntegrity

Disponibilitate pentru: macOS Big Sur 11.0.1

Impact: este posibil ca o aplicație rău intenționată să poată ocoli preferințele de confidențialitate

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2020-29621: Wojciech Reguła (@_r3ggi) (SecuRing)

Audio

Disponibilitate pentru: macOS Big Sur 11.0.1

Impact: procesarea unui fișier audio creat cu rea intenție poate cauza divulgarea memoriei restricționate

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-29610: anonim, în colaborare cu inițiativa Zero Day de la Trend Micro

Audio

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-27910: JunDong Xie și XingWei Lin (Ant Security Light-Year Lab)

Audio

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: o aplicație rău intenționată poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-9943: JunDong Xie (Ant Security Light-Year Lab)

Audio

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-9944: JunDong Xie (Ant Security Light-Year Lab)

Audio

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-27916: JunDong Xie (Ant Security Light-Year Lab)

Bluetooth

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau coruperea segmentului

Descriere: au fost rezolvate mai multe probleme de „depășire de întreg” prin îmbunătățirea validării intrării.

CVE-2020-27906: Zuozhi Fan (@pattern_F_) de la Ant Group Tianqiong Security Lab

CoreAudio

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-27948: JunDong Xie (Ant Security Light-Year Lab)

CoreAudio

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-27908: un cercetător anonim în colaborare cu Zero Day Initiative (Trend Micro), JunDong Xie și XingWei Lin (Ant Security Light-Year Lab)

CVE-2020-9960: JunDong Xie și Xingwei Lin (Ant Security Light-Year Lab)

CoreAudio

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-10017: Francis în colaborare cu Zero Day Initiative (Trend Micro), JunDong Xie (Ant Security Light-Year Lab)

CoreText

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2020-27922: Mickey Jin (Trend Micro)

CUPS

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: o aplicație rău intenționată poate citi memorie restricționată

Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea tratării memoriei.

CVE-2020-10001: Niky

FontParser

Disponibilitate pentru: macOS Big Sur 11.0.1

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: a fost rezolvată o problemă de divulgare a informațiilor, prin îmbunătățirea gestionării stării.

CVE-2020-27946: Mateusz Jurczyk (Google Project Zero)

FontParser

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

FontParser

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-27952: un cercetător anonim, Mickey Jin și Junzhi Lu (Trend Micro)

FontParser

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-9956: Mickey Jin și Junzhi Lu (Trend Micro Mobile Security Research Team), în colaborare cu Zero Day Initiative (Trend Micro)

FontParser

Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a existat o problemă de alterare a memoriei la procesarea fișierelor de fonturi. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2020-27931: Apple

CVE-2020-27943: Mateusz Jurczyk (Google Project Zero)

CVE-2020-27944: Mateusz Jurczyk (Google Project Zero)

CVE-2020-29624: Mateusz Jurczyk (Google Project Zero)

FontParser

Disponibilitate pentru: macOS Big Sur 11.0.1

Impact: un atacator la distanță poate accesa informații din memorie

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-29608: Xingwei Lin (Ant Security Light-Year Lab)

Foundation

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: un utilizator local ar putea să citească fișiere arbitrare

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2020-10002: James Hutchins

Graphics Drivers

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de alterare a memoriei prin îmbunătățirea validării intrării.

CVE-2020-27947: ABC Research s.r.o. în colaborare cu Zero Day Initiative (Trend Micro), Liu Long (Ant Security Light-Year Lab)

Graphics Drivers

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-29612: ABC Research s.r.o. în colaborare cu Zero Day Initiative (Trend Micro)

HomeKit

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: un atacator cu poziție privilegiată în rețea poate modifica în mod neașteptat starea aplicației

Descriere: această problemă a fost rezolvată prin îmbunătățirea propagării configurării.

CVE-2020-9978: Luyi Xing, Dongfang Zhao și Xiaofeng Wang (Indiana University Bloomington), Yan Jia (Xidian University și University of Chinese Academy of Sciences) și Bin Yuan (HuaZhong University of Science and Technology)

ImageIO

Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2020-27939: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2020-29625: XingWei Lin (Ant Security Light-Year Lab)

ImageIO

Disponibilitate pentru: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-29615: Xingwei Lin (Ant Security Light-Year Lab)

ImageIO

Disponibilitate pentru: macOS Big Sur 11.0.1

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2020-29616: zhouat în colaborare cu Zero Day Initiative (Trend Micro)

ImageIO

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-27924: Lei Sun

CVE-2020-29618: Xingwei Lin (Ant Security Light-Year Lab)

ImageIO

Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-29611: Alexandru-Vlad Niculae în colaborare cu Google Project Zero

ImageIO

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: procesarea unei imagini create cu rea intenție poate cauza alterarea segmentului

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-29617: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2020-29619: Xingwei Lin (Ant Security Light-Year Lab)

ImageIO

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-27912: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2020-27923: Lei Sun

Image Processing

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-27919: Hou JingYi (@hjy79425575) (Qihoo 360 CERT), Xingwei Lin (Ant Security Light-Year Lab)

Intel Graphics Driver

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-10015: ABC Research s.r.o. în colaborare cu Zero Day Initiative (Trend Micro)

CVE-2020-27897: Xiaolong Bai și Min (Spark) Zheng (Alibaba Inc.) și Luyi Xing (Indiana University Bloomington)

Intel Graphics Driver

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de corupere a memoriei prin îmbunătățirea tratării memoriei.

CVE-2020-27907: ABC Research s.r.o. în colaborare cu Zero Day Initiative (Trend Micro), Liu Long (Ant Security Light-Year Lab)

Kernel

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2020-10016: Alex Helie

Kernel

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Kernel

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-9975: Tielei Wang (Pangu Lab)

Kernel

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost tratată o problemă de cursă prin îmbunătățirea tratării stării.

CVE-2020-27921: Linus Henze (pinauten.de)

Kernel

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: o aplicație rău intenționată ar putea cauza modificări neașteptate la nivelul memoriei aparținând proceselor urmărite de DTrace

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite pentru a preveni acțiunile neautorizate.

CVE-2020-27949: Steffen Klee (@_kleest) (TU Darmstadt, Secure Mobile Networking Lab)

Kernel

Disponibilitate pentru: macOS Big Sur 11.0.1

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: această problemă a fost rezolvată prin îmbunătățirea drepturilor.

CVE-2020-29620: Csaba Fitzl (@theevilbit) (Offensive Security)

libxml2

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2020-27911: problemă găsită de OSS-Fuzz

libxml2

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-27920: problemă găsită de OSS-Fuzz

libxml2

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-27926: problemă găsită de OSS-Fuzz

libxpc

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: o aplicație rău intenționată poate evada din sandbox

Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.

CVE-2020-10014: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab)

Logging

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2020-10010: Tommy Muir (@Muirey03)

Login Window

Disponibilitate pentru: macOS Big Sur 11.0.1

Impact: un atacator dintr-o poziție privilegiată în rețea ar putea evita politica de autentificare

Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.

CVE-2020-29633: Jewel Lambert (Original Spin, LLC).

Model I/O

Disponibilitate pentru: macOS Big Sur 11.0.1

Impact: este posibil ca procesarea unei fișier creat cu rea intenție să poată provoca alterarea segmentului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2020-29614: ZhiWei Sun(@5n1p3r0010) (Topsec Alpha Lab)

Model I/O

Disponibilitate pentru: macOS Catalina 10.15.7

Impact: procesarea unui fișier USD creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-13520: Aleksandar Nikolic (Cisco Talos)

Model I/O

Disponibilitate pentru: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: procesarea unui fișier USD creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.

CVE-2020-9972: Aleksandar Nikolic (Cisco Talos)

Model I/O

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: procesarea unui fișier USD creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-13524: Aleksandar Nikolic (Cisco Talos)

Model I/O

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: deschiderea unui fișier creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2020-10004: Aleksandar Nikolic (Cisco Talos)

NSRemoteView

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2020-27901: Thijs Alkemade de la Computest Research Division

Power Management

Disponibilitate pentru: macOS Big Sur 11.0.1

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2020-27938: Tim Michaud (@TimGMichaud) (Leviathan)

Power Management

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2020-10007: singi@theori în colaborare cu Trend Micro Zero Day Initiative

Quick Look

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: procesarea unui document creat cu rea intenție poate declanșa un atac asupra scripturilor de pe mai multe site-uri

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.

CVE-2020-10012: Heige (KnownSec 404 Team) (knownsec.com) și Bo Qu (Palo Alto Networks) (paloaltonetworks.com)

Ruby

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: un atacator de la distanță poate reuși să modifice sistemul de fișiere

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2020-27896: un cercetător anonim

System Preferences

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2020-10009: Thijs Alkemade de la Computest Research Division

WebKit Storage

Disponibilitate pentru: macOS Big Sur 11.0.1

Impact: este posibil ca un utilizator să nu poată șterge întregul istoric de navigare

Descriere: „Clear History and Website Data” („Ștergere istoric și date despre site-uri web”) nu a golit istoricul. Problema a fost rezolvată prin îmbunătățirea ștergerii datelor.

CVE-2020-29623: Simon Hunt (OvalTwo LTD)

WebRTC

Disponibilitate pentru: macOS Big Sur 11.0.1

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-15969: un cercetător anonim

Wi-Fi

Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: un atacator poate reuși să evite protecția prin management a cadrelor

Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea tratării stării.

CVE-2020-27898: Stephan Marais de la Universitatea Johannesburg

Alte mențiuni

CoreAudio

Dorim să le mulțumim lui JunDong Xie și lui XingWei Lin (Ant Security Light-Year Lab) pentru asistența acordată.