Despre conținutul de securitate din macOS Catalina 10.15.3, actualizarea de securitate 2020-001 Mojave și actualizarea de securitate 2020-001 High Sierra
Acest document descrie conținutul de securitate din macOS Catalina 10.15.3, actualizarea de securitate 2020-001 Mojave și actualizarea de securitate 2020-001 High Sierra.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Catalina 10.15.3, actualizarea de securitate 2020-001 Mojave și actualizarea de securitate 2020-001 High Sierra
AnnotationKit
Disponibilitate pentru: macOS Catalina 10.15.2
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-3877: un cercetător anonim în colaborare cu Zero Day Initiative (Trend Micro)
apache_mod_php
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impact: probleme multiple în PHP
Descriere: mai multe probleme au fost tratate prin actualizarea PHP la versiunea 7.3.11.
CVE-2019-11043
Audio
Disponibilitate pentru: macOS Catalina 10.15.2
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2020-3857: Zhuo Liang de la Qihoo 360 Vulcan Team
autofs
Disponibilitate pentru: macOS Catalina 10.15.2
Impact: căutarea și deschiderea unui fișier de la o montare NFS controlată de un atacator pot ocoli Gatekeeper
Descriere: această problemă a fost rezolvată prin verificări suplimentare efectuate de Gatekeeper asupra fișierelor montate prin partajarea în rețea.
CVE-2020-3866: Jose Castro Almeida (@HackerOn2Wheels) și René Kroka (@rene_kroka)
CoreBluetooth
Disponibilitate pentru: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2020-3848: Jianjun Dai (Qihoo 360 Alpha Lab)
CVE-2020-3849: Jianjun Dai (Qihoo 360 Alpha Lab)
CVE-2020-3850: Jianjun Dai (Qihoo 360 Alpha Lab)
CoreBluetooth
Disponibilitate pentru: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2
Impact: un atacator la distanță poate accesa informații din memorie
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-3847: Jianjun Dai (Qihoo 360 Alpha Lab)
Crash Reporter
Disponibilitate pentru: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2
Impact: este posibil ca o aplicație rău-intenționată să poată accesa fișierele restricționate
Descriere: a existat o problemă de validare la tratarea symlinkurilor. Această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.
CVE-2020-3835: Csaba Fitzl (@theevilbit)
crontab
Disponibilitate pentru: macOS Catalina 10.15.2
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2020-3863: James Hutchins
Găsite în aplicații
Disponibilitate pentru: macOS Catalina 10.15.2
Impact: datele criptate pot fi accesate necorespunzător
Descriere: a existat o problemă legată de accesul Sugestiilor Siri la datele criptate. Problema a fost remediată prin limitarea accesului la datele criptate.
CVE-2020-9774: Bob Gendler (National Institute of Standards and Technology)
Procesarea imaginilor
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impact: vizualizarea unui fișier JPEG rău intenționat poate cauza executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2020-3827: Samuel Groß (Google Project Zero)
ImageIO
Disponibilitate pentru: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-3826: Samuel Groß de la Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß de la Google Project Zero
CVE-2020-3880: Samuel Groß (Google Project Zero)
Driver video Intel
Disponibilitate pentru: macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2020-3845: Zhuo Liang (Qihoo 360 Vulcan Team)
IOAcceleratorFamily
Disponibilitate pentru: macOS Catalina 10.15.2
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2020-3837: Brandon Azad de la Google Project Zero
IOThunderboltFamily
Disponibilitate pentru: macOS Catalina 10.15.2
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-3851: Xiaolong Bai și Min (Spark) Zheng (Alibaba Inc.) și Luyi Xing (Indiana University Bloomington)
IPSec
Disponibilitate pentru: macOS Catalina 10.15.2
Impact: încărcarea unui fișier de configurare de tip „racoon” creat cu rea intenție poate duce la executarea unui cod arbitrar
Descriere: a existat o problemă de tipul „off by one” în tratarea fișierelor de configurare de tip „racoon”. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2020-3840: @littlelailo
Kernel
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2020-3875: Brandon Azad de la Google Project Zero
Kernel
Disponibilitate pentru: macOS Catalina 10.15.2
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2020-3872: Haakon Garseg Mørk de la Cognite și Cim Stordal de la Cognite
Kernel
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.
CVE-2020-3853: Brandon Azad de la Google Project Zero
Kernel
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: a fost rezolvată o problemă de acces prin îmbunătățirea gestionării memoriei.
CVE-2020-3836: Brandon Azad de la Google Project Zero
Kernel
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2020-3842: Ned Williamson, în colaborare cu Google Project Zero
CVE-2020-3871: Corellium
libxml2
Disponibilitate pentru: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2
Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.
CVE-2020-3846: Ranier Vilela
libxpc
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impact: procesarea unui șir creat cu rea intenție poate cauza deteriorarea zonei-tampon de structuri de date
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2020-3856: Ian Beer de la Google Project Zero
libxpc
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-3829: Ian Beer de la Google Project Zero
PackageKit
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impact: o aplicație rău intenționată ar putea suprascrie fișiere în mod arbitrar
Descriere: a existat o problemă de validare la tratarea symlinkurilor. Această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.
CVE-2020-3830: Csaba Fitzl (@theevilbit)
Securitate
Disponibilitate pentru: macOS Catalina 10.15.2
Impact: o aplicație rău intenționată poate evada din sandbox
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2020-3854: Jakob Rieck (@0xdead10cc) și Maximilian Blochberger (Security in Distributed Systems Group, University of Hamburg)
sudo
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impact: este posibil ca anumite configurații să permită unui atacator local să execute cod arbitrar
Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.
CVE-2019-18634: Apple
Sistem
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Impact: o aplicație rău intenționată ar putea suprascrie fișiere în mod arbitrar
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.
CVE-2020-3855: Csaba Fitzl (@theevilbit)
Wi-Fi
Disponibilitate pentru: macOS Catalina 10.15.2
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2020-3839: s0ngsari (Theori) și Lee (Seoul National University, în colaborare cu Trend Micro's Zero Day Initiative)
Wi-Fi
Disponibilitate pentru: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2
Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2020-3843: Ian Beer de la Google Project Zero
wifivelocityd
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: problema a fost remediată prin îmbunătățirea logicii pentru permisiuni.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Alte mențiuni
Photos Storage
Dorim să îi mulțumim lui Allison Husain de la UC Berkeley pentru asistență.
SharedFileList
Dorim să îi mulțumim lui Patrick Wardle de la Jamf pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.