Despre conținutul de securitate din macOS Big Sur 11.0.1

Acest document descrie conținutul de securitate din macOS Big Sur 11.0.1.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

macOS Big Sur 11.0.1

Data lansării: 12 noiembrie 2020

AMD

Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)

Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2020-27914: Yu Wang (Didi Research America)

CVE-2020-27915: Yu Wang (Didi Research America)

Intrare adăugată pe 14 decembrie 2020

App Store

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2020-27903: Zhipeng Huo (@R3dF09) de la Tencent Security Xuanwu Lab

Audio

Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-27910: JunDong Xie și XingWei Lin (Ant Security Light-Year Lab)

Audio

Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-27916: JunDong Xie (Ant Security Light-Year Lab)

Audio

Impact: o aplicație rău intenționată poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-9943: JunDong Xie de la Ant Group Light-Year Security Lab

Audio

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-9944: JunDong Xie de la Ant Group Light-Year Security Lab

Bluetooth

Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau coruperea segmentului

Descriere: au fost rezolvate mai multe probleme de „depășire de întreg” prin îmbunătățirea validării intrării.

CVE-2020-27906: Zuozhi Fan (@pattern_F_) de la Ant Group Tianqiong Security Lab

CFNetwork Cache

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2020-27945: Zhuo Liang (Qihoo 360 Vulcan Team)

Intrare adăugată pe 16 martie 2021

CoreAudio

Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-27908: JunDong Xie și Xingwei Lin (Ant Security Light-Year Lab)

CVE-2020-27909: un cercetător anonim în colaborare cu Zero Day Initiative (Trend Micro), JunDong Xie și XingWei Lin (Ant Security Light-Year Lab)

CVE-2020-9960: JunDong Xie și Xingwei Lin (Ant Security Light-Year Lab)

Intrare adăugată pe 14 decembrie 2020

CoreAudio

Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-10017: Francis în colaborare cu Zero Day Initiative (Trend Micro), JunDong Xie (Ant Security Light-Year Lab)

CoreCapture

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-9949: Proteas

CoreGraphics

Impact: procesarea unui PDF creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-9897: S.Y. (ZecOps Mobile XDR), un cercetător anonim

Intrare adăugată pe 25 octombrie 2021

CoreGraphics

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-9883: un cercetător anonim, Mickey Jin (Trend Micro)

Crash Reporter

Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor

Descriere: a existat o problemă în logica de validare a căilor pentru linkuri simbolice. Această problemă a fost rezolvată printr-o îmbunătățire a corectării căilor.

CVE-2020-10003: Tim Michaud (@TimGMichaud) (Leviathan)

CoreText

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2020-27922: Mickey Jin (Trend Micro)

Intrare adăugată pe 14 decembrie 2020

CoreText

Impact: procesarea unui fișier text creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2020-9999: Apple

Intrare actualizată pe 14 decembrie 2020

Directory Utility

Impact: este posibil ca o aplicație rău-intenționată să poată accesa informații private

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2020-27937: Wojciech Reguła (@_r3ggi) (SecuRing)

Intrare adăugată pe 16 martie 2021

Disk Images

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Finder

Impact: utilizatorii pot să fie în imposibilitatea de a elimina metadatele care indică de unde au fost descărcate fișierele

Descriere: problema a fost rezolvată prin controale suplimentare pentru utilizatori.

CVE-2020-27894: Manuel Trezza de la Shuggr (shuggr.com)

FontParser

Impact: Procesarea unui font creat cu rea intenție poate duce la executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-36615: Peter Nguyen Hoang Vu (@peternguyen14) (STAR Labs)

Adăugare intrare: joi, 11 mai 2023

FontParser

Impact: procesarea unui fișier text creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2021-1790: Peter Nguyen Vu Hoang (STAR Labs)

Intrare adăugată pe 25 mai 2022

FontParser

Impact: Procesarea unui font creat cu rea intenție poate duce la executarea unui cod arbitrar

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2021-1775: Mickey Jin și Qi Sun (Trend Micro) în colaborare cu Zero Day Initiative (Trend Micro)

Intrare adăugată pe 25 octombrie 2021

FontParser

Impact: o aplicație rău intenționată poate citi memorie restricționată

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-29629: un cercetător anonim

Intrare adăugată pe 25 octombrie 2021

FontParser

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2020-27942: un cercetător anonim

Intrare adăugată pe 25 octombrie 2021

FontParser

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Intrare adăugată pe 14 decembrie 2020

FontParser

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-27952: un cercetător anonim, Mickey Jin și Junzhi Lu (Trend Micro)

Intrare adăugată pe 14 decembrie 2020

FontParser

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-9956: Mickey Jin și Junzhi Lu (Trend Micro Mobile Security Research Team), în colaborare cu Zero Day Initiative (Trend Micro)

Intrare adăugată pe 14 decembrie 2020

FontParser

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a existat o problemă de alterare a memoriei la procesarea fișierelor de fonturi. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2020-27931: Apple

Intrare adăugată pe 14 decembrie 2020

FontParser

Impact: Procesarea unui font creat cu rea intenție poate duce la executarea unui cod arbitrar. Apple este la curent cu rapoartele potrivit cărora există o exploatare a acestei probleme, însă locațiile nu sunt cunoscute.

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2020-27930: Google Project Zero

FontParser

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-27927: Xingwei Lin (Ant Security Light-Year Lab)

FontParser

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-29639: Mickey Jin și Qi Sun (Trend Micro) în colaborare cu Zero Day Initiative (Trend Micro)

Intrare adăugată pe 21 iulie 2021

Foundation

Impact: un utilizator local ar putea să citească fișiere arbitrare

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2020-10002: James Hutchins

HomeKit

Impact: un atacator cu poziție privilegiată în rețea poate modifica în mod neașteptat starea aplicației

Descriere: această problemă a fost rezolvată prin îmbunătățirea propagării configurării.

CVE-2020-9978: Luyi Xing, Dongfang Zhao și Xiaofeng Wang (Indiana University Bloomington), Yan Jia (Xidian University și University of Chinese Academy of Sciences) și Bin Yuan (HuaZhong University of Science and Technology)

Intrare adăugată pe 14 decembrie 2020

ImageIO

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-9955: Mickey Jin (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)

Intrare adăugată pe 14 decembrie 2020

ImageIO

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-27924: Lei Sun

Intrare adăugată pe 14 decembrie 2020

ImageIO

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-27912: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2020-27923: Lei Sun

Intrare actualizată pe 14 decembrie 2020

ImageIO

Impact: deschiderea unui fișier PDF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-9876: Mickey Jin (Trend Micro)

Intel Graphics Driver

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-10015: ABC Research s.r.o. în colaborare cu Zero Day Initiative (Trend Micro)

CVE-2020-27897: Xiaolong Bai și Min (Spark) Zheng (Alibaba Inc.) și Luyi Xing (Indiana University Bloomington)

Intrare adăugată pe 14 decembrie 2020

Intel Graphics Driver

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de corupere a memoriei prin îmbunătățirea tratării memoriei.

CVE-2020-27907: ABC Research s.r.o. în colaborare cu Zero Day Initiative (Trend Micro), Liu Long (Ant Security Light-Year Lab)

Intrare adăugată pe 14 decembrie 2020, actualizată pe 16 martie 2021

Image Processing

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-27919: Hou JingYi (@hjy79425575) (Qihoo 360 CERT), Xingwei Lin (Ant Security Light-Year Lab)

Intrare adăugată pe 14 decembrie 2020

Kernel

Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Intrare adăugată pe 14 decembrie 2020

Kernel

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-9975: Tielei Wang (Pangu Lab)

Intrare adăugată pe 14 decembrie 2020

Kernel

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost tratată o problemă de cursă prin îmbunătățirea tratării stării.

CVE-2020-27921: Linus Henze (pinauten.de)

Intrare adăugată pe 14 decembrie 2020

Kernel

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a existat o problemă de logică care cauza alterarea memoriei. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2020-27904: Zuozhi Fan (@pattern_F_) de la Ant Group Tianqiong Security Lab

Kernel

Impact: un atacator dintr-o poziție privilegiată din rețea poate reuși să injecteze în conexiuni active dintr-un tunel VPN

Descriere: o problemă de rutare a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2019-14899: William J. Tolley, Beau Kujath și Jedidiah R. Crandall

Kernel

Impact: o aplicație rău intenționată poate dezvălui conținutul memoriei nucleului. Apple este la curent cu rapoartele potrivit cărora există o exploatare a acestei probleme, însă locațiile nu sunt cunoscute.

Descriere: a fost rezolvată o problemă de inițializare a memoriei.

CVE-2020-27950: Google Project Zero

Kernel

Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2020-10016: Alex Helie

Kernel

Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel. Apple este la curent cu rapoartele potrivit cărora există o exploatare a acestei probleme, însă locațiile nu sunt cunoscute.

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării stării.

CVE-2020-27932: Google Project Zero

libxml2

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-27917: problemă găsită de OSS-Fuzz

CVE-2020-27920: problemă găsită de OSS-Fuzz

Intrare actualizată pe 14 decembrie 2020

libxml2

Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2020-27911: problemă găsită de OSS-Fuzz

libxpc

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.

CVE-2020-9971: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab)

Intrare adăugată pe 14 decembrie 2020

libxpc

Impact: o aplicație rău intenționată poate evada din sandbox

Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.

CVE-2020-10014: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab)

Logging

Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2020-10010: Tommy Muir (@Muirey03)

Mail

Impact: un atacator aflat la distanță poate modifica în mod neașteptat starea aplicației

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2020-9941: Fabian Ising (FH Münster University of Applied Sciences) și Damian Poddebniak (FH Münster University of Applied Sciences)

Messages

Impact: un utilizator local poate descoperi mesaje șterse ale unui utilizator

Descriere: problema a fost rezolvată prin îmbunătățirea ștergerii.

CVE-2020-9988: William Breuer, Țările de Jos

CVE-2020-9989: von Brunn Media

Model I/O

Impact: procesarea unui fișier USD creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-10011: Aleksandar Nikolic (Cisco Talos)

Intrare adăugată pe 14 decembrie 2020

Model I/O

Impact: procesarea unui fișier USD creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-13524: Aleksandar Nikolic (Cisco Talos)

Model I/O

Impact: deschiderea unui fișier creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2020-10004: Aleksandar Nikolic (Cisco Talos)

NetworkExtension

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-9996: Zhiwei Yuan de la Trend Micro iCore Team, Junzhi Lu și Mickey Jin de la Trend Micro

NSRemoteView

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2020-27901: Thijs Alkemade de la Computest Research Division

Intrare adăugată pe 14 decembrie 2020

NSRemoteView

Impact: o aplicație rău intenționată poate reuși să previzualizeze fișere la care nu are acces

Descriere: a existat o problemă la tratarea instantaneelor. Problema a fost rezolvată prin îmbunătățirea logicii permisiunilor.

CVE-2020-27900: Thijs Alkemade de la Computest Research Division

PCRE

Impact: probleme multiple în pcre

Descriere: mai multe probleme au fost rezolvate prin actualizarea la versiunea 8.44.

CVE-2019-20838

CVE-2020-14155

Power Management

Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2020-10007: singi@theori în colaborare cu Trend Micro Zero Day Initiative

python

Impact: modulele cookie care aparțineau unei origini pot fi trimise la o altă origine

Descriere: mai multe probleme au fost rezolvate prin îmbunătățirea logicii.

CVE-2020-27896: un cercetător anonim

Quick Look

Impact: este posibil ca o aplicație rău intenționată să poată determina existența fișierelor pe computer

Descriere: problema a fost tratată printr-o manipulare îmbunătățită a memorării în cache a pictogramelor.

CVE-2020-9963: Csaba Fitzl (@theevilbit) (Offensive Security)

Quick Look

Impact: procesarea unui document creat cu rea intenție poate declanșa un atac asupra scripturilor de pe mai multe site-uri

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.

CVE-2020-10012: Heige (KnownSec 404 Team) (knownsec.com) și Bo Qu (Palo Alto Networks) (paloaltonetworks.com)

Intrare actualizată pe 16 martie 2021

Ruby

Impact: un atacator de la distanță poate reuși să modifice sistemul de fișiere

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2020-27896: un cercetător anonim

Ruby

Impact: la analizarea anumitor documente JSON, nucleul json poate fi forțat să creeze obiecte arbitrare în sistemul țintă

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2020-10663: Jeremy Evans

Safari

Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese

Descriere: a existat o problemă de falsificare la tratarea URL-urilor. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2020-9945: Narendra Bhati (Suma Soft Pvt.) Ltd. Pune (India) @imnarendrabhati

Safari

Impact: o aplicație rău intenționată poate detecta care sunt filele deschide de un utilizator în Safari

Descriere: a existat o problemă de validare în verificarea drepturilor. Această problemă a fost rezolvată prin îmbunătățirea validării drepturilor de proces.

CVE-2020-9977: Josh Parnham (@joshparnham)

Safari

Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese

Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.

CVE-2020-9942: un cercetător anonim, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora) de la The City School, PAF Chapter, Ruilin Yang de la Tencent Security Xuanwu Lab, YoKo Kho (@YoKoAcc) de la PT Telekomunikasi Indonesia (Persero) Tbk, Zhiyang Zeng(@Wester) de la OPPO ZIWU Security Lab

Safari

Impact: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării

Descriere: accesarea unui site web rău intenționat poate cauza falsificarea barei de adresă.

CVE-2020-9987: Rafay Baloch (cybercitadel.com) (Cyber Citadel)

Intrare adăugată pe 21 iulie 2021

Sandbox

Impact: o aplicație locală poate enumera documentele iCloud ale utilizatorului

Descriere: problema a fost remediată prin îmbunătățirea logicii pentru permisiuni.

CVE-2021-1803: Csaba Fitzl (@theevilbit) (Offensive Security)

Intrare adăugată pe 16 martie 2021

Sandbox

Impact: este posibil ca un utilizator local să vadă informații sensibile despre utilizator

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2020-9969: Wojciech Reguła de la SecuRing (wojciechregula.blog)

Screen Sharing

Impact: un utilizator cu acces la partajarea ecranului poate vizualiza ecranul altui utilizator

Descriere: a existat o problemă la partajarea ecranului. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2020-27893: pcsgomes

Intrare adăugată pe 16 martie 2021

Siri

Impact: o persoană cu acces fizic la un dispozitiv iOS poate accesa contacte din ecranul de blocare

Descriere: o problemă la ecranul de blocare a permis accesul la contacte pe un dispozitiv blocat. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2021-1755: Yuval Ron, Amichai Shulman și Eli Biham (Technion - Israel Institute of Technology)

Intrare adăugată pe 16 martie 2021

smbx

Impact: un atacator dintr-o poziție privilegiată în rețea poate efectua o refuzare a serviciului

Descriere: a fost rezolvată o problemă de epuizare a memoriei prin îmbunătățirea validării intrării.

CVE-2020-10005: Apple

Intrare adăugată pe 25 octombrie 2021

SQLite

Impact: un atacator la distanță poate provoca un refuz al serviciului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2020-9991

SQLite

Impact: un atacator la distanță poate accesa informații din memorie

Descriere: a fost rezolvată o problemă de divulgare a informațiilor, prin îmbunătățirea gestionării stării.

CVE-2020-9849

SQLite

Impact: probleme multiple în SQLite

Descriere: mai multe probleme au fost rezolvate prin îmbunătățirea verificărilor.

CVE-2020-15358

SQLite

Impact: o interogare SQL creată cu rea intenție poate cauza coruperea datelor

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2020-13631

SQLite

Impact: un atacator la distanță poate provoca un refuz al serviciului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

SQLite

Impact: un atacator de la distanță poate cauza executarea unui cod arbitrar

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2020-13630

Symptom Framework

Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-27899: 08Tc3wBB în colaborare cu ZecOps

Intrare adăugată pe 14 decembrie 2020

System Preferences

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2020-10009: Thijs Alkemade de la Computest Research Division

TCC

Impact: este posibil ca o aplicație rău intenționată cu privilegii de rădăcină să poată accesa informații private

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2020-10008: Wojciech Reguła (SecuRing) (wojciechregula.blog)

Intrare adăugată pe 14 decembrie 2020

WebKit

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-27918: Liu Long (Ant Security Light-Year Lab)

Intrare actualizată pe 14 decembrie 2020

WebKit

Impact: a fost rezolvată o problemă de „utilizare după eliberare” prin îmbunătățirea gestionării memoriei

Descriere: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar.

CVE-2020-9947: cc în colaborare cu Zero Day Initiative (Trend Micro)

CVE-2020-9950: cc în colaborare cu Zero Day Initiative (Trend Micro)

Intrare adăugată pe 21 iulie 2021

Wi-Fi

Impact: un atacator poate reuși să evite protecția prin management a cadrelor

Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea tratării stării.

CVE-2020-27898: Stephan Marais de la Universitatea Johannesburg

XNU

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: mai multe probleme au fost rezolvate prin îmbunătățirea logicii.

CVE-2020-27935: Lior Halphon (@LIJI32)

Intrare adăugată pe 17 decembrie 2020

Xsan

Impact: este posibil ca o aplicație rău-intenționată să poată accesa fișierele restricționate

Descriere: această problemă a fost rezolvată prin îmbunătățirea drepturilor.

CVE-2020-10006: Wojciech Reguła (@_r3ggi) (SecuRing)

Alte mențiuni

802.1X

Dorim să le mulțumim pentru asistență lui Kenana Dalle de la Hamad bin Khalifa University și lui Ryan Riley de la Carnegie Mellon University din Qatar.

Intrare adăugată pe 14 decembrie 2020

Audio

Dorim să le mulțumim lui JunDong Xie și lui Xingwei Lin (Ant-Financial Light-Year Security Lab) și lui Marc Schoenefeld Dr. rer. nat. pentru asistența acordată.

Intrare actualizată pe 16 martie 2021

Bluetooth

Dorim să le mulțumim lui Andy Davis (NCC Group) și lui Dennis Heinze (@ttdennis) (TU Darmstadt, Secure Mobile Networking Lab) pentru asistența acordată.

Intrare actualizată pe 14 decembrie 2020

Clang

Dorim să îi mulțumim lui Brandon Azad (Google Project Zero) pentru asistența acordată.

Core Location

Dorim să îi mulțumim lui Yiğit Can YILMAZ (@yilmazcanyigit) pentru asistență.

Crash Reporter

Dorim să îi mulțumim pentru asistență lui Artur Byszko (AFINE).

Intrare adăugată pe 14 decembrie 2020

Directory Utility

Dorim să îi mulțumim lui Wojciech Reguła (@_r3ggi) de la SecuRing pentru asistența acordată.

iAP

Dorim să îi mulțumim lui Andy Davis (NCC Group) pentru asistența acordată.

Kernel

Dorim să îi mulțumim pentru asistență lui Brandon Azad de la Google Project Zero și lui Stephen Röttger de la Google pentru asistență.

libxml2

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Intrare adăugată pe 14 decembrie 2020

Login Window

Dorim să îi mulțumim lui Rob Morton de la Leidos pentru asistență.

Intrare adăugată pe 16 martie 2021

Login Window

Dorim să îi mulțumim lui Rob Morton de la Leidos pentru asistență.

Photos Storage

Dorim să îi mulțumim lui Paulos Yibelo de la LimeHats pentru asistență.

Quick Look

Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) și lui Wojciech Reguła de la SecuRing (wojciechregula.blog) pentru asistență.

Safari

Dorim să le mulțumim lui Gabriel Corona și lui Narendra Bhati (Suma Soft Pvt.) Ltd. Pune (India) @imnarendrabhati pentru asistență.

Sandbox

Dorim să îi mulțumim lui Saagar Jha pentru asistență.

Adăugare intrare: 11 mai 2023

Security

Dorim să îi mulțumim lui Christian Starkjohann de la Objective Development Software GmbH pentru asistență.

System Preferences

Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) (Offensive Security) pentru asistență.

Intrare adăugată pe 16 martie 2021

System Preferences

Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) (Offensive Security) pentru asistență.

WebKit

Maximilian Blochberger (Security in Distributed Systems Group, University of Hamburg)

Intrare adăugată pe 25 mai 2022

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: 31 octombrie 2023