Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности см. на странице, посвященной безопасности продуктов Apple.
macOS Catalina 10.15.6, обновление системы безопасности 2020-004 для macOS Mojave и High Sierra
Дата выпуска: 15 июля 2020 г.
AMD
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2020-9927: Lilang Wu в сотрудничестве с Trend Micro по программе Zero Day Initiative
Запись обновлена 5 августа 2020 г.
Audio
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2020-9884: Юй Чжоу (Yu Zhou, @yuzhou6666) из 小鸡帮 в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2020-9889: анонимный пользователь, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative, Цзюньдун Се (JunDong Xie) и Синвэй Линь (XingWei Lin) из Ant-Financial Light-Year Security Lab
Запись обновлена 5 августа 2020 г.
Audio
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2020-9888: Цзюньдун Се (JunDong Xie) и Синвэй Линь (XingWei Lin) из Ant-Financial Light-Year Security Lab
CVE-2020-9890: Цзюньдун Се (JunDong Xie) и Синвэй Линь (XingWei Lin) из Ant-Financial Light-Year Security Lab
CVE-2020-9891: Цзюньдун Се (JunDong Xie) и Синвэй Линь (XingWei Lin) из Ant-Financial Light-Year Security Lab
Запись обновлена 5 августа 2020 г.
Bluetooth
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.
CVE-2020-9928: Юй Ван (Yu Wang) из Didi Research America
Запись добавлена 5 августа 2020 г.
Bluetooth
Целевые продукты: macOS Mojave 10.14.6 и macOS Catalina 10.15.5
Воздействие. Локальный пользователь может вызывать неожиданное завершение работы системы или считывать память ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2020-9929: Юй Ван (Yu Wang) из Didi Research America
Запись добавлена 5 августа 2020 г.
Clang
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Clang может генерировать машинный код, не отслеживающий коды аутентификации указателей.
Описание. Проблема с логикой устранена путем улучшенной проверки.
CVE-2020-9870: Samuel Groß из подразделения Google Project Zero
CoreAudio
Целевые продукты: macOS High Sierra 10.13.6
Воздействие. Переполнение буфера может привести к выполнению произвольного кода
Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.
CVE-2020-9866: Юй Чжоу (Yu Zhou) из 小鸡帮 и Цзюньдун Се (JunDong Xie) из Ant-Financial Light-Year Security Lab
Core Bluetooth
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Злоумышленник может удаленно вызвать неожиданное завершение работы приложения.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2020-9869: Патрик Уордл (Patrick Wardle) из Jamf
Запись добавлена 5 августа 2020 г.
CoreCapture
Целевые продукты: macOS Mojave 10.14.6 и macOS High Sierra 10.13.6
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2020-9949: пользователь Proteas
Запись добавлена 12 ноября 2020 г.
CoreFoundation
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Локальный пользователь может просматривать конфиденциальные пользовательские данные.
Описание. При обработке переменных среды возникала ошибка. Проблема устранена путем улучшения процедуры проверки.
CVE-2020-9934: Мэтт Шокли (Matt Shockley, linkedin.com/in/shocktop)
Запись обновлена 5 августа 2020 г.
CoreGraphics
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
CVE-2020-9883: анонимный исследователь, Микки Цзинь (Mickey Jin) из компании Trend Micro
Запись добавлена 24 июля 2020 г. и обновлена 12 ноября 2020 г.
Crash Reporter
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Вредоносное приложение может выходить за границы изолированной среды.
Описание. Проблема с повреждением данных в памяти устранена путем удаления уязвимого кода.
CVE-2020-9865: Чжо Лян (Zhuo Liang) из группы Vulcan в Qihoo 360 в сотрудничестве с компанией 360 BugCloud
Crash Reporter
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Локальный злоумышленник может повысить свои привилегии.
Описание. В логике проверки путей символьных ссылок существовала проблема. Эта проблема устранена путем улучшенной очистки путей.
CVE-2020-9900: Сиз Элзинга (Cees Elzinga), Чжунчэн Ли (Zhongcheng Li, CK01) из подразделения Zero-dayits компании Legendsec, входящей в группу Qi'anxin Group
Запись добавлена 5 августа 2020 г. и обновлена 17 декабря 2021 г.
FontParser
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2020-9980: Синвэй Линь (XingWei Lin) из компании Ant Security Light-Year Lab
Запись добавлена 21 сентября 2020 г. и обновлена 19 октября 2020 г.
Graphics Drivers
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Вредоносное приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2020-9799: ABC Research s.r.o.
Запись обновлена 24 июля 2020 г.
Heimdal
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Локальный пользователь может инициировать утечку конфиденциальных пользовательских данных.
Описание. Проблема устранена путем улучшения защиты данных.
CVE-2020-9913: Cody Thomas из SpecterOps
ImageIO
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2020-27933: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
Запись добавлена 16 марта 2021 г.
ImageIO
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. В openEXR возникал ряд проблем переполнения буфера.
Описание. Ряд проблем в openEXR устранен путем улучшения проверок.
CVE-2020-11758: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
CVE-2020-11759: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
CVE-2020-11760: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
CVE-2020-11761: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
CVE-2020-11762: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
CVE-2020-11763: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
CVE-2020-11764: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
CVE-2020-11765: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
Запись добавлена 8 сентября 2020 г.
ImageIO
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2020-9871: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
CVE-2020-9872: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
CVE-2020-9874: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
CVE-2020-9879: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
CVE-2020-9936: Микки Цзинь (Mickey Jin) из компании Trend Micro
CVE-2020-9937: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
Запись обновлена 5 августа 2020 г.
ImageIO
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
CVE-2020-9919: Микки Цзинь (Mickey Jin) из компании Trend Micro
Запись добавлена 24 июля 2020 г.
ImageIO
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Открытие вредоносного файла PDF может приводить к неожиданному завершению работы приложения или к выполнению произвольного кода.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2020-9876: Микки Цзинь (Mickey Jin) из компании Trend Micro
Запись добавлена 24 июля 2020 г.
ImageIO
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2020-9873: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
CVE-2020-9938: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
Запись добавлена 24 июля 2020 г.
ImageIO
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2020-9877: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
Запись добавлена 5 августа 2020 г.
ImageIO
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
CVE-2020-9875: Микки Цзинь (Mickey Jin) из компании Trend Micro
Запись добавлена 5 августа 2020 г.
ImageIO
Целевые продукты: macOS Mojave 10.14.6 и macOS Catalina 10.15.5
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2020-9873: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
CVE-2020-9938: Синвэй Линь (XingWei Lin) из компании Ant-Financial Light-Year Security Lab
CVE-2020-9984: анонимный исследователь
Запись добавлена 21 сентября 2020 г.
Image Processing
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Просмотр вредоносного файла JPEG может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2020-9887: Микки Цзинь (Mickey Jin) из компании Trend Micro
Запись добавлена 8 сентября 2020 г.
Intel Graphics Driver
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Локальный пользователь может вызывать неожиданное завершение работы системы или считывать память ядра.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2020-9908: Цзюньчжи Лу (Junzhi Lu, @pwn0rz) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 24 июля 2020 г. и обновлена 31 августа 2020 г.
Intel Graphics Driver
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Вредоносное приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.
CVE-2020-9990: специалисты ABC Research s.r.l и ABC Research s.r.o. в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 21 сентября 2020 г.
Intel Graphics Driver
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2020-9921: специалисты ABC Research s.r.o. в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 5 августа 2020 г.
Kernel
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Злоумышленник с преимущественным положением в сети может внедриться в активные соединения в туннеле VPN.
Описание. Проблема с маршрутизацией устранена путем улучшения ограничений.
CVE-2019-14899: Уильям Дж. Толли (William J. Tolley), Бо Куджат (Beau Kujath) и Джедидайя Р. Крэндалл (Jedidiah R. Crandall)
Kernel
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.
CVE-2020-9904: Телэй Ван (Tielei Wang) из Pangu Lab
Запись добавлена 24 июля 2020 г.
Kernel
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Удаленный злоумышленник может вызвать отказ в обслуживании.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2020-9924: Мэтт Девор (Matt DeVore) из Google
Запись добавлена 24 июля 2020 г.
Kernel
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенного управления состояниями.
CVE-2020-9892: Andy Nguyen из Google
Запись добавлена 24 июля 2020 г.
Kernel
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с инициализацией памяти устранена путем улучшенной обработки памяти.
CVE-2020-9863: Синжу Чи (Xinru Chi) из Pangu Lab
Запись обновлена 5 августа 2020 г.
Kernel
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Вредоносное приложение может выявлять схему распределения памяти в ядре.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2020-9902: Синжу Чи (Xinru Chi) и Телэй Ван (Tielei Wang) из Pangu Lab
Запись добавлена 5 августа 2020 г.
Kernel
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Удаленный злоумышленник может вызвать отказ в обслуживании.
Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.
CVE-2020-9905: Раз Машат (Raz Mashat, @RazMashat) из компании ZecOps
Запись добавлена 5 августа 2020 г.
Kernel
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Вредоносное приложение может раскрывать область памяти с ограниченным доступом.
Описание. Проблема раскрытия информации устранена путем улучшения управления состояниями.
CVE-2020-9997: Каталин Валерию Лита (Catalin Valeriu Lita) из SecurityScorecard
Запись добавлена 21 сентября 2020 г.
libxml2
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Обработка вредоносного кода XML может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2020-9926: обнаружено с помощью инструмента OSS-Fuzz
Запись добавлена 16 марта 2021 г.
libxpc
Целевые продукты: macOS Mojave 10.14.6 и macOS High Sierra 10.13.6
Воздействие. Вредоносное приложение может перезаписать произвольные файлы.
Описание. Проблема с обработкой пути устранена путем улучшенной проверки.
CVE-2020-9994: специалисты Apple
Запись добавлена 21 сентября 2020 г.
Login Window
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Пользователь может неожиданно войти в учетную запись другого пользователя.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2020-9935: анонимный исследователь
Запись добавлена 21 сентября 2020 г.
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Удаленный злоумышленник может вызвать отказ в обслуживании.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2019-19906
Запись добавлена 24 июля 2020 г. и обновлена 8 сентября 2020 г.
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Вредоносный почтовый сервер может перезаписывать произвольные файлы почты.
Описание. Проблема с обработкой пути устранена путем улучшенной проверки.
CVE-2020-9920: Юнюэ Ван (YongYue Wang, также известный под псевдонимом BigChan) из группы Hillstone Networks AF
Запись добавлена 24 июля 2020 г.
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Обработка вредоносного сообщения электронной почты может приводить к записи произвольных файлов.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2020-9922: Микко Кенттяля (Mikko Kenttälä, @Turmio_) из SensorFu
Запись добавлена 12 ноября 2020 г.
Messages
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Пользователь, удаленный из группы iMessage, может снова присоединиться к группе.
Описание. Возникала проблема при обработке сообщений Tapback в iMessage. Проблема устранена с помощью дополнительных проверок.
CVE-2020-9885: анонимный исследователь, Suryansh Mansharamani из WWP High School North (medium.com/@suryanshmansha)
Model I/O
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Обработка вредоносного файла USD может привести к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
CVE-2020-9878: Хольгер Фурманнек (Holger Fuhrmannek) из Deutsche Telekom Security
Model I/O
Целевые продукты: macOS Mojave 10.14.6 и macOS Catalina 10.15.5
Воздействие. Обработка вредоносного файла USD может привести к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.
CVE-2020-9880: Хольгер Фурманнек (Holger Fuhrmannek) из Deutsche Telekom Security
Запись добавлена 24 июля 2020 г. и обновлена 21 сентября 2020 г.
Model I/O
Целевые продукты: macOS Mojave 10.14.6 и macOS Catalina 10.15.5
Воздействие. Обработка вредоносного файла USD может привести к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
CVE-2020-9878: Александар Николич (Aleksandar Nikolic) из Cisco Talos, Хольгер Фурманнек (Holger Fuhrmannek) из Deutsche Telekom Security
CVE-2020-9881: Хольгер Фурманнек (Holger Fuhrmannek) из Deutsche Telekom Security
CVE-2020-9882: Хольгер Фурманнек (Holger Fuhrmannek) из Deutsche Telekom Security
CVE-2020-9940: Хольгер Фурманнек (Holger Fuhrmannek) из Deutsche Telekom Security
CVE-2020-9985: Хольгер Фурманнек (Holger Fuhrmannek) из Deutsche Telekom Security
Запись добавлена 24 июля 2020 г. и обновлена 21 сентября 2020 г.
OpenLDAP
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Удаленный злоумышленник может вызвать отказ в обслуживании.
Описание. Проблема устранена путем улучшения проверок.
CVE-2020-12243
Запись добавлена 21 сентября 2020 г.
Perl
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Целочисленное переполнение в компиляторе регулярных выражений Perl может позволить злоумышленнику удаленно внедрить инструкции в скомпилированную форму регулярного выражения.
Описание. Проблема устранена путем улучшения проверок.
CVE-2020-10878: Хуго ван дер Санден (Hugo van der Sanden) и Славен Резич (Slaven Rezic)
Запись добавлена 16 марта 2021 г.
Perl
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Удаленный злоумышленник может вызвать выполнение произвольного кода.
Описание. Проблема устранена путем улучшения проверок.
CVE-2020-12723: Сергей Алейников (Sergey Aleynikov)
Запись добавлена 16 марта 2021 г.
rsync
Целевые продукты: macOS Mojave 10.14.6 и macOS High Sierra 10.13.6
Воздействие. Удаленный злоумышленник может перезаписать существующие файлы.
Описание. При обработке символьных ссылок возникала проблема проверки. Проблема устранена путем улучшенной проверки символьных ссылок.
CVE-2014-9512: gaojianfeng
Запись добавлена 24 июля 2020 г.
Sandbox
Целевые продукты: macOS Mojave 10.14.6 и macOS Catalina 10.15.5
Воздействие. Локальный пользователь может вызывать неожиданное завершение работы системы или считывать память ядра.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2020-9930: Чжии Чзан (Zhiyi Zhang) из подразделения Codesafe компании Legendsec, входящей в группу Qi'anxin Group
Запись добавлена 15 декабря 2020 г.
Sandbox
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Локальный пользователь может загрузить неподписанные расширения ядра.
Описание. Проблема устранена путем улучшения проверок.
CVE-2020-9939: @jinmo123, @setuid0x0_ и @insu_yun_en из @SSLab_Gatech в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 5 августа 2020 г.
Security
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2020-9864: Александр Холодный (Alexander Holodny)
Security
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Злоумышленник может имитировать доверенный веб-сайт, используя материал с общим ключом для сертификата, добавленного администратором.
Описание. Возникала проблема с проверкой сертификата при обработке сертификатов, добавленных администратором. Эта проблема устранена путем улучшенной проверки сертификатов.
CVE-2020-9868: Брайан Вольф (Brian Wolff) из Asana
Запись добавлена 24 июля 2020 г.
Security
Целевые продукты: macOS Mojave 10.14.6 и macOS High Sierra 10.13.6
Воздействие. Приложение может получить повышенные привилегии.
Описание. Проблема с логикой устранена путем улучшенной проверки.
CVE-2020-9854: Ilias Morad (A2nkF)
Запись добавлена 24 июля 2020 г.
sysdiagnose
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Локальный злоумышленник может повысить свои привилегии.
Описание. В логике проверки путей символьных ссылок существовала проблема. Эта проблема устранена путем улучшенной очистки путей.
CVE-2020-9901: Тим Мишо (Tim Michaud, @TimGMichaud) из Leviathan, Чжунчэн Ли (Zhongcheng Li, CK01) из подразделения Zero-dayits компании Legendsec, входящей в группу Qi'anxin Group
Запись добавлена 5 августа 2020 г. и обновлена 31 августа 2020 г.
Vim
Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6
Воздействие. Удаленный злоумышленник может вызвать выполнение произвольного кода.
Описание. Проблема устранена путем улучшения проверок.
CVE-2019-20807: Гильерме де Алмейда Сукевич (Guilherme de Almeida Suckevicz)
WebDAV
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.
Описание. Проблема устранена с помощью улучшенных разрешений.
CVE-2020-9898: Сриджит Кришнар Р (Sreejith Krishnan R, @skr0x1C0)
Запись добавлена 8 сентября 2020 г.
Wi-Fi
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Злоумышленник может удаленно вызывать неожиданное завершение работы системы или повреждение памяти ядра.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2020-9918: Цзяньцзюнь Дай (Jianjun Dai) из подразделения 360 Alpha Lab в сотрудничестве с компанией 360 BugCloud (bugcloud.360.cn)
Wi-Fi
Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2020-9899: Юй Ван (Yu Wang) из Didi Research America
Запись добавлена 24 июля 2020 г.
Wi-Fi
Целевые продукты: macOS Catalina 10.15.5
Воздействие. Злоумышленник может удаленно вызывать неожиданное завершение работы системы или повреждение памяти ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2020-9906: Йен Бир (Ian Beer) из Google Project Zero
Запись добавлена 24 июля 2020 г.
Дополнительные благодарности
CoreFoundation
Выражаем благодарность за помощь Бобби Пеллетайеру (Bobby Pelletier).
Запись добавлена 8 сентября 2020 г.
ImageIO
Выражаем благодарность за помощь Синвэю Линю (Xingwei Lin) из компании Ant-Financial Light-Year Security Lab.
Запись добавлена 21 сентября 2020 г.
Siri
Выражаем благодарность за помощь Ювалю Рону (Yuval Ron), Амихаю Шульману (Amichai Shulman) и Эли Бихаму (Eli Biham) из университета Технион — Израильского технологического института.
Запись добавлена 5 августа 2020 г.
USB Audio
Выражаем благодарность за помощь Энди Дэвису (Andy Davis) из NCC Group.