Despre conținutul de securitate din macOS Big Sur 11.0.1
Acest document descrie conținutul de securitate din macOS Big Sur 11.0.1.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Big Sur 11.0.1
AMD
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2020-27914: Yu Wang (Didi Research America)
CVE-2020-27915: Yu Wang (Didi Research America)
App Store
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2020-27903: Zhipeng Huo (@R3dF09) de la Tencent Security Xuanwu Lab
Audio
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-27910: JunDong Xie și XingWei Lin (Ant Security Light-Year Lab)
Audio
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-27916: JunDong Xie (Ant Security Light-Year Lab)
Audio
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație rău intenționată poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-9943: JunDong Xie de la Ant Group Light-Year Security Lab
Audio
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-9944: JunDong Xie de la Ant Group Light-Year Security Lab
Bluetooth
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau coruperea segmentului
Descriere: au fost rezolvate mai multe probleme de „depășire de întreg” prin îmbunătățirea validării intrării.
CVE-2020-27906: Zuozhi Fan (@pattern_F_) de la Ant Group Tianqiong Security Lab
CFNetwork Cache
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2020-27945: Zhuo Liang (Qihoo 360 Vulcan Team)
CoreAudio
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-27908: JunDong Xie și Xingwei Lin (Ant Security Light-Year Lab)
CVE-2020-27909: un cercetător anonim în colaborare cu Zero Day Initiative (Trend Micro), JunDong Xie și XingWei Lin (Ant Security Light-Year Lab)
CVE-2020-9960: JunDong Xie și Xingwei Lin (Ant Security Light-Year Lab)
CoreAudio
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-10017: Francis în colaborare cu Zero Day Initiative (Trend Micro), JunDong Xie (Ant Security Light-Year Lab)
CoreCapture
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-9949: Proteas
CoreGraphics
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui PDF creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-9897: S.Y. (ZecOps Mobile XDR), un cercetător anonim
CoreGraphics
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-9883: un cercetător anonim, Mickey Jin (Trend Micro)
Crash Reporter
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: a existat o problemă în logica de validare a căilor pentru linkuri simbolice. Această problemă a fost rezolvată printr-o îmbunătățire a corectării căilor.
CVE-2020-10003: Tim Michaud (@TimGMichaud) (Leviathan)
CoreText
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-27922: Mickey Jin (Trend Micro)
CoreText
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui fișier text creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2020-9999: Apple
Directory Utility
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: este posibil ca o aplicație rău-intenționată să poată accesa informații private
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-27937: Wojciech Reguła (@_r3ggi) (SecuRing)
Disk Images
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-9965: Proteas
CVE-2020-9966: Proteas
Finder
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: utilizatorii pot să fie în imposibilitatea de a elimina metadatele care indică de unde au fost descărcate fișierele
Descriere: problema a fost rezolvată prin controale suplimentare pentru utilizatori.
CVE-2020-27894: Manuel Trezza de la Shuggr (shuggr.com)
FontParser
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: Procesarea unui font creat cu rea intenție poate duce la executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-36615: Peter Nguyen Hoang Vu (@peternguyen14) (STAR Labs)
FontParser
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui fișier text creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2021-1790: Peter Nguyen Vu Hoang (STAR Labs)
FontParser
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: Procesarea unui font creat cu rea intenție poate duce la executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2021-1775: Mickey Jin și Qi Sun (Trend Micro) în colaborare cu Zero Day Initiative (Trend Micro)
FontParser
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație rău intenționată poate citi memorie restricționată
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-29629: un cercetător anonim
FontParser
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-27942: un cercetător anonim
FontParser
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.
CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)
FontParser
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-27952: un cercetător anonim, Mickey Jin și Junzhi Lu (Trend Micro)
FontParser
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-9956: Mickey Jin și Junzhi Lu (Trend Micro Mobile Security Research Team), în colaborare cu Zero Day Initiative (Trend Micro)
FontParser
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la procesarea fișierelor de fonturi. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2020-27931: Apple
FontParser
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: Procesarea unui font creat cu rea intenție poate duce la executarea unui cod arbitrar. Apple este la curent cu rapoartele potrivit cărora există o exploatare a acestei probleme, însă locațiile nu sunt cunoscute.
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2020-27930: Google Project Zero
FontParser
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-27927: Xingwei Lin (Ant Security Light-Year Lab)
FontParser
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-29639: Mickey Jin și Qi Sun (Trend Micro) în colaborare cu Zero Day Initiative (Trend Micro)
Foundation
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un utilizator local ar putea să citească fișiere arbitrare
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-10002: James Hutchins
HomeKit
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un atacator cu poziție privilegiată în rețea poate modifica în mod neașteptat starea aplicației
Descriere: această problemă a fost rezolvată prin îmbunătățirea propagării configurării.
CVE-2020-9978: Luyi Xing, Dongfang Zhao și Xiaofeng Wang (Indiana University Bloomington), Yan Jia (Xidian University și University of Chinese Academy of Sciences) și Bin Yuan (HuaZhong University of Science and Technology)
ImageIO
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-9955: Mickey Jin (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-27924: Lei Sun
ImageIO
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-27912: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2020-27923: Lei Sun
ImageIO
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: deschiderea unui fișier PDF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-9876: Mickey Jin (Trend Micro)
Intel Graphics Driver
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-10015: ABC Research s.r.o. în colaborare cu Zero Day Initiative (Trend Micro)
CVE-2020-27897: Xiaolong Bai și Min (Spark) Zheng (Alibaba Inc.) și Luyi Xing (Indiana University Bloomington)
Intel Graphics Driver
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de corupere a memoriei prin îmbunătățirea tratării memoriei.
CVE-2020-27907: ABC Research s.r.o. în colaborare cu Zero Day Initiative (Trend Micro), Liu Long (Ant Security Light-Year Lab)
Image Processing
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-27919: Hou JingYi (@hjy79425575) (Qihoo 360 CERT), Xingwei Lin (Ant Security Light-Year Lab)
Kernel
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2020-9967: Alex Plaskett (@alexjplaskett)
Kernel
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-9975: Tielei Wang (Pangu Lab)
Kernel
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost tratată o problemă de cursă prin îmbunătățirea tratării stării.
CVE-2020-27921: Linus Henze (pinauten.de)
Kernel
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a existat o problemă de logică care cauza alterarea memoriei. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2020-27904: Zuozhi Fan (@pattern_F_) de la Ant Group Tianqiong Security Lab
Kernel
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un atacator dintr-o poziție privilegiată din rețea poate reuși să injecteze în conexiuni active dintr-un tunel VPN
Descriere: o problemă de rutare a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2019-14899: William J. Tolley, Beau Kujath și Jedidiah R. Crandall
Kernel
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație rău intenționată poate dezvălui conținutul memoriei nucleului. Apple este la curent cu rapoartele potrivit cărora există o exploatare a acestei probleme, însă locațiile nu sunt cunoscute.
Descriere: a fost rezolvată o problemă de inițializare a memoriei.
CVE-2020-27950: Google Project Zero
Kernel
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2020-10016: Alex Helie
Kernel
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel. Apple este la curent cu rapoartele potrivit cărora există o exploatare a acestei probleme, însă locațiile nu sunt cunoscute.
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării stării.
CVE-2020-27932: Google Project Zero
libxml2
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-27917: problemă găsită de OSS-Fuzz
CVE-2020-27920: problemă găsită de OSS-Fuzz
libxml2
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2020-27911: problemă găsită de OSS-Fuzz
libxpc
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2020-9971: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab)
libxpc
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație rău intenționată poate evada din sandbox
Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.
CVE-2020-10014: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab)
Logging
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2020-10010: Tommy Muir (@Muirey03)
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un atacator aflat la distanță poate modifica în mod neașteptat starea aplicației
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2020-9941: Fabian Ising (FH Münster University of Applied Sciences) și Damian Poddebniak (FH Münster University of Applied Sciences)
Messages
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un utilizator local poate descoperi mesaje șterse ale unui utilizator
Descriere: problema a fost rezolvată prin îmbunătățirea ștergerii.
CVE-2020-9988: William Breuer, Țările de Jos
CVE-2020-9989: von Brunn Media
Model I/O
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui fișier USD creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-10011: Aleksandar Nikolic (Cisco Talos)
Model I/O
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui fișier USD creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-13524: Aleksandar Nikolic (Cisco Talos)
Model I/O
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: deschiderea unui fișier creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-10004: Aleksandar Nikolic (Cisco Talos)
NetworkExtension
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-9996: Zhiwei Yuan de la Trend Micro iCore Team, Junzhi Lu și Mickey Jin de la Trend Micro
NSRemoteView
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2020-27901: Thijs Alkemade de la Computest Research Division
NSRemoteView
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație rău intenționată poate reuși să previzualizeze fișere la care nu are acces
Descriere: a existat o problemă la tratarea instantaneelor. Problema a fost rezolvată prin îmbunătățirea logicii permisiunilor.
CVE-2020-27900: Thijs Alkemade de la Computest Research Division
PCRE
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: probleme multiple în pcre
Descriere: mai multe probleme au fost rezolvate prin actualizarea la versiunea 8.44.
CVE-2019-20838
CVE-2020-14155
Power Management
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-10007: singi@theori în colaborare cu Trend Micro Zero Day Initiative
python
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: modulele cookie care aparțineau unei origini pot fi trimise la o altă origine
Descriere: mai multe probleme au fost rezolvate prin îmbunătățirea logicii.
CVE-2020-27896: un cercetător anonim
Quick Look
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: este posibil ca o aplicație rău intenționată să poată determina existența fișierelor pe computer
Descriere: problema a fost tratată printr-o manipulare îmbunătățită a memorării în cache a pictogramelor.
CVE-2020-9963: Csaba Fitzl (@theevilbit) (Offensive Security)
Quick Look
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui document creat cu rea intenție poate declanșa un atac asupra scripturilor de pe mai multe site-uri
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.
CVE-2020-10012: Heige (KnownSec 404 Team) (knownsec.com) și Bo Qu (Palo Alto Networks) (paloaltonetworks.com)
Ruby
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un atacator de la distanță poate reuși să modifice sistemul de fișiere
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2020-27896: un cercetător anonim
Ruby
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: la analizarea anumitor documente JSON, nucleul json poate fi forțat să creeze obiecte arbitrare în sistemul țintă
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2020-10663: Jeremy Evans
Safari
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese
Descriere: a existat o problemă de falsificare la tratarea URL-urilor. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2020-9945: Narendra Bhati (Suma Soft Pvt.) Ltd. Pune (India) @imnarendrabhati
Safari
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație rău intenționată poate detecta care sunt filele deschide de un utilizator în Safari
Descriere: a existat o problemă de validare în verificarea drepturilor. Această problemă a fost rezolvată prin îmbunătățirea validării drepturilor de proces.
CVE-2020-9977: Josh Parnham (@joshparnham)
Safari
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese
Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.
CVE-2020-9942: un cercetător anonim, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora) de la The City School, PAF Chapter, Ruilin Yang de la Tencent Security Xuanwu Lab, YoKo Kho (@YoKoAcc) de la PT Telekomunikasi Indonesia (Persero) Tbk, Zhiyang Zeng(@Wester) de la OPPO ZIWU Security Lab
Safari
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării
Descriere: accesarea unui site web rău intenționat poate cauza falsificarea barei de adresă.
CVE-2020-9987: Rafay Baloch (cybercitadel.com) (Cyber Citadel)
Sandbox
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o aplicație locală poate enumera documentele iCloud ale utilizatorului
Descriere: problema a fost remediată prin îmbunătățirea logicii pentru permisiuni.
CVE-2021-1803: Csaba Fitzl (@theevilbit) (Offensive Security)
Sandbox
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: este posibil ca un utilizator local să vadă informații sensibile despre utilizator
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.
CVE-2020-9969: Wojciech Reguła de la SecuRing (wojciechregula.blog)
Screen Sharing
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un utilizator cu acces la partajarea ecranului poate vizualiza ecranul altui utilizator
Descriere: a existat o problemă la partajarea ecranului. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2020-27893: pcsgomes
Siri
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o persoană cu acces fizic la un dispozitiv iOS poate accesa contacte din ecranul de blocare
Descriere: o problemă la ecranul de blocare a permis accesul la contacte pe un dispozitiv blocat. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2021-1755: Yuval Ron, Amichai Shulman și Eli Biham (Technion - Israel Institute of Technology)
smbx
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un atacator dintr-o poziție privilegiată în rețea poate efectua o refuzare a serviciului
Descriere: a fost rezolvată o problemă de epuizare a memoriei prin îmbunătățirea validării intrării.
CVE-2020-10005: Apple
SQLite
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un atacator la distanță poate provoca un refuz al serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2020-9991
SQLite
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un atacator la distanță poate accesa informații din memorie
Descriere: a fost rezolvată o problemă de divulgare a informațiilor, prin îmbunătățirea gestionării stării.
CVE-2020-9849
SQLite
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: probleme multiple în SQLite
Descriere: mai multe probleme au fost rezolvate prin îmbunătățirea verificărilor.
CVE-2020-15358
SQLite
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: o interogare SQL creată cu rea intenție poate cauza coruperea datelor
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2020-13631
SQLite
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un atacator la distanță poate provoca un refuz al serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2020-13434
CVE-2020-13435
CVE-2020-9991
SQLite
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un atacator de la distanță poate cauza executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2020-13630
Symptom Framework
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-27899: 08Tc3wBB în colaborare cu ZecOps
System Preferences
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-10009: Thijs Alkemade de la Computest Research Division
TCC
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: este posibil ca o aplicație rău intenționată cu privilegii de rădăcină să poată accesa informații private
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2020-10008: Wojciech Reguła (SecuRing) (wojciechregula.blog)
WebKit
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-27918: Liu Long (Ant Security Light-Year Lab)
WebKit
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: a fost rezolvată o problemă de „utilizare după eliberare” prin îmbunătățirea gestionării memoriei
Descriere: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar.
CVE-2020-9947: cc în colaborare cu Zero Day Initiative (Trend Micro)
CVE-2020-9950: cc în colaborare cu Zero Day Initiative (Trend Micro)
Wi-Fi
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: un atacator poate reuși să evite protecția prin management a cadrelor
Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea tratării stării.
CVE-2020-27898: Stephan Marais de la Universitatea Johannesburg
XNU
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: mai multe probleme au fost rezolvate prin îmbunătățirea logicii.
CVE-2020-27935: Lior Halphon (@LIJI32)
Xsan
Disponibilitate pentru: Mac Pro (2013 și versiuni ulterioare), MacBook Air (2013 și versiuni ulterioare), MacBook Pro (sfârșitul anului 2013 și versiuni ulterioare), Mac mini (2014 și versiuni ulterioare), iMac (2014 și versiuni ulterioare), MacBook (2015 și versiuni ulterioare), iMac Pro (toate modelele)
Impact: este posibil ca o aplicație rău-intenționată să poată accesa fișierele restricționate
Descriere: această problemă a fost rezolvată prin îmbunătățirea drepturilor.
CVE-2020-10006: Wojciech Reguła (@_r3ggi) (SecuRing)
Alte mențiuni
802.1X
Dorim să le mulțumim pentru asistență lui Kenana Dalle de la Hamad bin Khalifa University și lui Ryan Riley de la Carnegie Mellon University din Qatar.
Audio
Dorim să le mulțumim lui JunDong Xie și lui Xingwei Lin (Ant-Financial Light-Year Security Lab) și lui Marc Schoenefeld Dr. rer. nat. pentru asistența acordată.
Bluetooth
Dorim să le mulțumim lui Andy Davis (NCC Group) și lui Dennis Heinze (@ttdennis) (TU Darmstadt, Secure Mobile Networking Lab) pentru asistența acordată.
Clang
Dorim să îi mulțumim lui Brandon Azad (Google Project Zero) pentru asistența acordată.
Core Location
Dorim să îi mulțumim lui Yiğit Can YILMAZ (@yilmazcanyigit) pentru asistență.
Crash Reporter
Dorim să îi mulțumim pentru asistență lui Artur Byszko (AFINE).
Directory Utility
Dorim să îi mulțumim lui Wojciech Reguła (@_r3ggi) de la SecuRing pentru asistența acordată.
iAP
Dorim să îi mulțumim lui Andy Davis (NCC Group) pentru asistența acordată.
Kernel
Dorim să îi mulțumim pentru asistență lui Brandon Azad de la Google Project Zero și lui Stephen Röttger de la Google pentru asistență.
libxml2
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Login Window
Dorim să îi mulțumim lui Rob Morton de la Leidos pentru asistență.
Login Window
Dorim să îi mulțumim lui Rob Morton de la Leidos pentru asistență.
Photos Storage
Dorim să îi mulțumim lui Paulos Yibelo de la LimeHats pentru asistență.
Quick Look
Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) și lui Wojciech Reguła de la SecuRing (wojciechregula.blog) pentru asistență.
Safari
Dorim să le mulțumim lui Gabriel Corona și lui Narendra Bhati (Suma Soft Pvt.) Ltd. Pune (India) @imnarendrabhati pentru asistență.
Sandbox
Dorim să îi mulțumim lui Saagar Jha pentru asistență.
Security
Dorim să îi mulțumim lui Christian Starkjohann de la Objective Development Software GmbH pentru asistență.
System Preferences
Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) (Offensive Security) pentru asistență.
System Preferences
Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) (Offensive Security) pentru asistență.
WebKit
Maximilian Blochberger (Security in Distributed Systems Group, University of Hamburg)
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.