Сведения о проблемах системы безопасности, устраняемых обновлением macOS Big Sur 11.0.1

В этом документе описываются проблемы безопасности, устраняемые обновлением macOS Big Sur 11.0.1.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности см. на странице, посвященной безопасности продуктов Apple.

macOS Big Sur 11.0.1

Дата выпуска: 12 ноября 2020 г.

AMD

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2020-27914: Yu Wang из Didi Research America

CVE-2020-27915: Yu Wang из Didi Research America

Запись добавлена 14 декабря 2020 г.

Магазин App Store

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Приложение может получить повышенные привилегии.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2020-27903: Zhipeng Huo (@R3dF09) из Tencent Security Xuanwu Lab

Звук

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-27910: JunDong Xie и XingWei Lin из Ant Security Light-Year Lab

Звук

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-27916: JunDong Xie из Ant Security Light-Year Lab

Звук

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Вредоносное приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-9943: JunDong Xie и XingWei Lin из Ant Group Light-Year Security Lab

Звук

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-9944: JunDong Xie из Ant Group Light-Year Security Lab

Bluetooth

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Злоумышленник может удаленно вызвать неожиданное завершение работы приложения или повреждение данных в динамической памяти.

Описание. Несколько ошибок целочисленного переполнения устранены благодаря улучшенной проверке ввода.

CVE-2020-27906: Zuozhi Fan (@pattern_F_) из отдела Ant Group Tianqiong Security Lab

CFNetwork Cache

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.

CVE-2020-27945: Zhuo Liang из группы Vulcan в Qihoo 360

Запись добавлена 16 марта 2021 г.

CoreAudio

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-27908: JunDong Xie и XingWei Lin из Ant Security Light-Year Lab

CVE-2020-27909: анонимный пользователь, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative, JunDong Xie и XingWei Lin из Ant Security Light-Year Lab

CVE-2020-9960: JunDong Xie и Xingwei Lin из Ant Security Light-Year Lab

Запись добавлена 14 декабря 2020 г.

CoreAudio

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-10017: пользователь Francis, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative, JunDong Xie из Ant Security Light-Year Lab

CoreCapture

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2020-9949: пользователь Proteas

CoreGraphics

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного файла PDF может приводить к выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-9897: пользователь S.Y. из компании ZecOps Mobile XDR, анонимный исследователь

Запись добавлена 25 октября 2021 г.

CoreGraphics

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-9883: анонимный исследователь, Mickey Jin из Trend Micro

Crash Reporter

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Локальный злоумышленник может повысить свои привилегии.

Описание. В логике проверки путей символьных ссылок существовала проблема. Эта проблема устранена путем улучшенной очистки путей.

CVE-2020-10003: Tim Michaud (@TimGMichaud) из Leviathan

CoreText

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2020-27922: Mickey Jin из компании Trend Micro

Запись добавлена 14 декабря 2020 г.

CoreText

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного текстового файла может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2020-9999: Apple

Запись обновлена 14 декабря 2020 г.

Directory Utility

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Вредоносное приложение может получить доступ к личной информации.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2020-27937: Wojciech Reguła (@_r3ggi) из компании SecuRing

Запись добавлена 16 марта 2021 г.

Образы дисков

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-9965: пользователь Proteas

CVE-2020-9966: пользователь Proteas

Finder

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Пользователям не всегда удается удалить метаданные, указывающие на то, откуда были скачаны файлы.

Описание. Проблема устранена дополнительным контролем со стороны пользователя.

CVE-2020-27894: Manuel Trezza из Shuggr (shuggr.com)

FontParser

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного текстового файла может приводить к выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2021-1790: Peter Nguyen, Vu Hoang из STAR Labs

Запись добавлена 25 мая 2022 г.

FontParser

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного шрифта может приводить к выполнению произвольного кода.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2021-1775: Mickey Jin и Qi Sun из компании Trend Micro, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative

Запись добавлена 25 октября 2021 г.

FontParser

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Вредоносное приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-29629: анонимный исследователь

Запись добавлена 25 октября 2021 г.

FontParser

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2020-27942: анонимный исследователь

Запись добавлена 25 октября 2021 г.

FontParser

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной проверки размера.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Запись добавлена 14 декабря 2020 г.

FontParser

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-27952: анонимный исследователь, а также Mickey Jin и Junzhi Lu из компании Trend Micro

Запись добавлена 14 декабря 2020 г.

FontParser

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-9956: Mickey Jin и Junzhi Lu из группы Trend Micro Mobile Security Research Team, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative

Запись добавлена 14 декабря 2020 г.

FontParser

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.

Описание. При обработке файлов шрифтов существовала проблема повреждения памяти. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2020-27931: Apple

Запись добавлена 14 декабря 2020 г.

FontParser

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного шрифта может приводить к выполнению произвольного кода. Компании Apple известно о практическом использовании этой уязвимости злоумышленниками.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2020-27930: подразделение Google Project Zero

FontParser

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-27927: XingWei Lin из Ant Security Light-Year Lab

FontParser

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-29639: Mickey Jin и Qi Sun из компании Trend Micro, сотрудничающие с Trend Micro в рамках программы Zero Day Initiative

Запись добавлена 21 июля 2021 г.

Платформа

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Локальный пользователь может читать произвольные файлы.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2020-10002: James Hutchins

HomeKit

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Злоумышленник с привилегированным положением в сети может неожиданно изменить состояние приложения.

Описание. Проблема устранена путем улучшенного распространения настроек.

CVE-2020-9978: Luyi Xing, Dongfang Zhao и Xiaofeng Wang из Индианского университета в Блумингтоне, Yan Jia из Сидяньского университета и Университета Китайской академии наук, Bin Yuan из Хуачжунского университета науки и технологии

Запись добавлена 14 декабря 2020 г.

ImageIO

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-9955: Mickey Jin из компании Trend Micro, Xingwei Lin из Ant Security Light-Year Lab

Запись добавлена 14 декабря 2020 г.

ImageIO

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-27924: Lei Sun

Запись добавлена 14 декабря 2020 г.

ImageIO

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-27912: XingWei Lin из Ant Security Light-Year Lab

CVE-2020-27923: Lei Sun

Запись обновлена 14 декабря 2020 г.

ImageIO

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Открытие вредоносного файла PDF может приводить к неожиданному завершению работы приложения или к выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-9876: Mickey Jin из компании Trend Micro

Драйвер видеокарты Intel

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-10015: специалисты ABC Research s.r.o., сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2020-27897: Xiaolong Bai и Min (Spark) Zheng из Alibaba Inc., а также Luyi Xing из Индианского университета в Блумингтоне

Запись добавлена 14 декабря 2020 г.

Драйвер видеокарты Intel

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2020-27907: специалисты ABC Research s.r.o., сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative, Liu Long из Ant Security Light-Year Lab

Запись добавлена 14 декабря 2020 г., обновлена 16 марта 2021 г.

Image Processing

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-27919: Hou JingYi (@hjy79425575) из компании Qihoo 360 CERT, XingWei Lin из Ant Security Light-Year Lab

Запись добавлена 14 декабря 2020 г.

Ядро

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Злоумышленник может удаленно вызывать неожиданное завершение работы системы или повреждение памяти ядра.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения проверки ввода.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Запись добавлена 14 декабря 2020 г.

Ядро

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2020-9975: Tielei Wang из Pangu Lab

Запись добавлена 14 декабря 2020 г.

Ядро

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Условие состязания устранено путем улучшения обработки состояний.

CVE-2020-27921: Linus Henze (pinauten.de)

Запись добавлена 14 декабря 2020 г.

Ядро

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с логикой приводила к повреждению данных в памяти. Проблема устранена путем улучшенного управления состояниями.

CVE-2020-27904: Цзочжи Фань (Zuozhi Fan, @pattern_F_) из отдела Security Lab компании Ant Group Tianqiong

Ядро

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Злоумышленник с преимущественным положением в сети может внедриться в активные соединения в туннеле VPN.

Описание. Проблема с маршрутизацией устранена путем улучшения ограничений.

CVE-2019-14899: Уильям Дж. Толли (William J. Tolley), Бо Куджат (Beau Kujath) и Джедидайя Р. Крэндалл (Jedidiah R. Crandall)

Ядро

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Вредоносная программа может раскрывать данные из памяти ядра. Компании Apple известно о практическом использовании этой уязвимости злоумышленниками.

Описание. Устранена проблема с инициализацией памяти.

CVE-2020-27950: подразделение Google Project Zero

Ядро

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Вредоносное приложение может выявлять схему распределения памяти в ядре.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2020-9974: Томми Муир (Tommy Muir, @Muirey03)

Ядро

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2020-10016: Алекс Хели (Alex Helie)

Ядро

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Вредоносное приложение может выполнять произвольный код с привилегиями ядра. Компании Apple известно о практическом использовании этой уязвимости злоумышленниками.

Описание. Проблема смешения типов устранена посредством улучшенного управления состояниями.

CVE-2020-27932: подразделение Google Project Zero

libxml2

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению кода.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2020-27917: обнаружено с помощью инструмента OSS-Fuzz

CVE-2020-27920: обнаружено с помощью инструмента OSS-Fuzz

Запись обновлена 14 декабря 2020 г.

libxml2

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Злоумышленник может удаленно вызвать неожиданное завершение работы приложения или выполнение произвольного кода.

Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.

CVE-2020-27911: обнаружено с помощью инструмента OSS-Fuzz

libxpc

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Вредоносное приложение может повышать уровень привилегий.

Описание. Проблема с логикой устранена путем улучшенной проверки.

CVE-2020-9971: Zhipeng Huo (@R3dF09) из Tencent Security Xuanwu Lab

Запись добавлена 14 декабря 2020 г.

libxpc

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Вредоносное приложение может выходить за границы изолированной среды.

Описание. Проблема анализа при обработке путей к каталогам устранена путем улучшенной проверки путей.

CVE-2020-10014: Zhipeng Huo (@R3dF09) из Tencent Security Xuanwu Lab

Logging

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Локальный злоумышленник может повысить свои привилегии.

Описание. Проблема с обработкой пути устранена путем улучшенной проверки.

CVE-2020-10010: Томми Муир (Tommy Muir, @Muirey03)

Почта

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Удаленный злоумышленник может неожиданно изменить состояние приложения.

Описание. Проблема устранена путем улучшения проверок.

CVE-2020-9941: Фабиан Изинг (Fabian Ising) и Дэмиан Поддебняк (Damian Poddebniak) из Мюнстерского университета прикладных наук

Сообщения

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Локальный пользователь может обнаружить удаленные сообщения пользователя.

Описание. Проблема устранена путем улучшения процедуры удаления данных.

CVE-2020-9988: Уильям Бройер (William Breuer), Нидерланды

CVE-2020-9989: пользователь из Brunn Media

Model I/O

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного файла USD может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-10011: Aleksandar Nikolic из компании Cisco Talos

Запись добавлена 14 декабря 2020 г.

Model I/O

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного файла USD может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-13524: Александар Николич (Aleksandar Nikolic) из компании Cisco Talos

Model I/O

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Открытие вредоносного файла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2020-10004: Александар Николич (Aleksandar Nikolic) из компании Cisco Talos

NetworkExtension

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Вредоносное приложение может повышать уровень привилегий.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2020-9996: Чживэй Юань (Zhiwei Yuan) из Trend Micro iCore Team, Цзюньчжи Лу (Junzhi Lu) и Микки Джин (Mickey Jin) из Trend Micro

NSRemoteView

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2020-27901: Thijs Alkemade из отдела исследований компании Computest

Запись добавлена 14 декабря 2020 г.

NSRemoteView

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Вредоносная программа может просматривать файлы, к которым у нее нет доступа.

Описание. Возникала проблема при обработке снимков экрана. Проблема устранена путем улучшения логики разрешений.

CVE-2020-27900: Тийс Алкемаде (Thijs Alkemade) из научно-исследовательского отдела Computest

PCRE

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обнаружен ряд проблем в PCRE.

Описание. Проблемы устранены путем обновления до версии 8.44.

CVE-2019-20838

CVE-2020-14155

Power Management

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Вредоносное приложение может выявлять схему распределения памяти в ядре.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2020-10007: пользователь singi@theori, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

Python

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Файлы cookie, принадлежащие одному источнику, могут быть отправлены другому.

Описание. Ряд проблем устранен путем улучшения логики.

CVE-2020-27896: анонимный исследователь

Быстрый просмотр

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Вредоносная программа может обнаруживать наличие файлов на компьютере.

Описание. Проблема устранена путем улучшенной обработки значков в кэше.

CVE-2020-9963: Чаба Фицл (Csaba Fitzl, @theevilbit) из Offensive Security

Быстрый просмотр

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного документа может приводить к атаке с использованием межсайтовых сценариев.

Описание. Проблема доступа устранена путем улучшения ограничений доступа.

CVE-2020-10012: пользователь Heige из KnownSec 404 Team (knownsec.com) и Bo Qu из Palo Alto Networks (paloaltonetworks.com)

Запись обновлена 16 марта 2021 г.

Ruby

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Злоумышленник может удаленно вносить изменения в файловую систему.

Описание. Проблема с обработкой пути устранена путем улучшенной проверки.

CVE-2020-27896: анонимный исследователь

Ruby

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. При анализе определенных JSON-документов json gem можно заставить генерировать произвольные объекты в целевой системе.

Описание. Проблема устранена путем улучшения проверок.

CVE-2020-10663: Джереми Эванс (Jeremy Evans)

Safari

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

Описание. При обработке URL-адресов возникала проблема подмены URL-адресов. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2020-9945: Narendra Bhati (@imnarendrabhati) из компании Suma Soft Pvt. Ltd. в Пуне (Индия)

Safari

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Вредоносная программа может выявлять открытые вкладки пользователя в Safari.

Описание. При подтверждении прав возникала проблема проверки. Проблема устранена посредством улучшенной проверки процесса подтверждения прав.

CVE-2020-9977: Джош Парнэм (Josh Parnham, @joshparnham)

Safari

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2020-9942: анонимный исследователь, Рахул Д. Канкрал (Rahul d Kankrale, servicenger.com), Райян Биджоора (Rayyan Bijoora, @Bijoora) из The City School (PAF Chapter), Руилин Ян (Ruilin Yang) из Tencent Security Xuanwu Lab, ЙоКо Кхо (YoKo Kho, @YoKoAcc) из PT Telekomunikasi Indonesia (Persero) Tbk, Чжиян Цзэн (Zhiyang Zeng, @Wester) из подразделения Security Lab компании OPPO ZIWU

Safari

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

Описание. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

CVE-2020-9987: Rafay Baloch (cybercitadel.com) из компании Cyber Citadel

Запись добавлена 21 июля 2021 г.

Sandbox

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Локальное приложение может перечислять документы iCloud пользователя.

Описание. Проблема устранена путем улучшения логики разрешений.

CVE-2021-1803: Csaba Fitzl (@theevilbit) из компании Offensive Security

Запись добавлена 16 марта 2021 г.

Sandbox

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Локальный пользователь может просматривать конфиденциальные пользовательские данные.

Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.

CVE-2020-9969: Войцех Регула (Wojciech Reguła) из SecuRing (wojciechregula.blog)

Screen Sharing

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Пользователь с доступом к общему экрану может просматривать содержимое на экране другого пользователя.

Описание. При демонстрации экрана возникала проблема. Проблема устранена путем улучшенного управления состояниями.

CVE-2020-27893: пользователь pcsgomes

Запись добавлена 16 марта 2021 г.

Siri

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Пользователь с физическим доступом к устройству iOS может получить доступ к контактам с экрана блокировки.

Описание. Проблема с экраном блокировки позволяла получить доступ к контактам на заблокированном устройстве. Проблема устранена путем улучшенного управления состояниями.

CVE-2021-1755: Yuval Ron, Amichai Shulman и Eli Biham из Техниона — Израильского технологического института

Запись добавлена 16 марта 2021 г.

smbx

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Злоумышленник с привилегированным положением в сети может вызывать отказ в обслуживании.

Описание. Проблема с исчерпанием ресурсов устранена путем улучшенной проверки ввода.

CVE-2020-10005: Apple

Запись добавлена 25 октября 2021 г.

SQLite

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Злоумышленник может удаленно вызвать отказ в обслуживании.

Описание. Проблема устранена путем улучшения проверок.

CVE-2020-9991

SQLite

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Удаленный злоумышленник может инициировать утечку данных памяти.

Описание. Проблема раскрытия информации устранена путем улучшения управления состояниями.

CVE-2020-9849

SQLite

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обнаружен ряд проблем в SQLite.

Описание. Ряд проблем устранен путем улучшения проверок.

CVE-2020-15358

SQLite

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Вредоносный SQL-запрос может приводить к повреждению данных.

Описание. Проблема устранена путем улучшения проверок.

CVE-2020-13631

SQLite

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Злоумышленник может удаленно вызвать отказ в обслуживании.

Описание. Проблема устранена путем улучшения проверок.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

SQLite

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Злоумышленник может удаленно вызвать выполнение произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2020-13630

Symptom Framework

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Локальный злоумышленник может повысить свои привилегии.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2020-27899: пользователь 08Tc3wBB, сотрудничающий с компанией ZecOps

Запись добавлена 14 декабря 2020 г.

System Preferences

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2020-10009: Тийс Алкемаде (Thijs Alkemade) из отдела исследований компании Computest

TCC

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Вредоносное приложение с привилегиями root-пользователя может получить доступ к личной информации.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2020-10008: Wojciech Reguła из компании SecuRing (wojciechregula.blog)

Запись добавлена 14 декабря 2020 г.

WebKit

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2020-27918: Liu Long из Ant Security Light-Year Lab

Запись обновлена 14 декабря 2020 г.

WebKit

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

Описание. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

CVE-2020-9947: пользователь cc, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2020-9950: пользователь cc, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

Запись добавлена 21 июля 2021 г.

Wi-Fi

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Злоумышленник может обойти защиту Managed Frame Protection.

Описание. Проблема отказа в обслуживании устранена путем улучшенного управления состояниями.

CVE-2020-27898: Стефан Марэ (Stephan Marais) из Йоханнесбургского университета

XNU

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.

Описание. Ряд проблем устранен путем улучшения логики.

CVE-2020-27935: Lior Halphon (@LIJI32)

Запись добавлена 17 декабря 2020 г.

Xsan

Целевые продукты: Mac Pro (2013 г. или новее), MacBook Air (2013 г. или новее), MacBook Pro (конец 2013 г. или новее), Mac mini (2014 г. или новее), iMac (2014 г. или новее), MacBook (2015 г. или новее), iMac Pro (все модели)

Воздействие. Вредоносное приложение может получить доступ к файлам, предназначенным для ограниченного использования.

Описание. Проблема устранена с помощью улучшенных разрешений.

CVE-2020-10006: Войцех Регула (Wojciech Reguła, @_r3ggi) из компании SecuRing

Дополнительные благодарности

802.1X

Выражаем благодарность за помощь Kenana Dalle из Университета Хамад бин Халифа и Ryan Riley из Университета Карнеги — Меллона в Катаре.

Запись добавлена 14 декабря 2020 г.

Audio

Выражаем благодарность за помощь JunDong Xie и XingWei Lin из Ant Security Light-Year Lab, а также доктору естественных наук Marc Schoenefeld.

Запись обновлена 16 марта 2021 г.

Bluetooth

Выражаем благодарность за помощь Andy Davis из NCC Group, Dennis Heinze (@ttdennis) из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете.

Запись обновлена 14 декабря 2020 г.

Clang

Выражаем благодарность за помощь Брэндону Азаду (Brandon Azad) из подразделения Google Project Zero.

Core Location

Выражаем благодарность за помощь Йигиту Кану Йилмазу (Yiğit Can YILMAZ, @yilmazcanyigit).

Crash Reporter

Выражаем благодарность за помощь Artur Byszko из AFINE.

Запись добавлена 14 декабря 2020 г.

Directory Utility

Выражаем благодарность за помощь Войцеху Регуле (Wojciech Reguła, @_r3ggi) из SecuRing.

iAP

Выражаем благодарность за помощь Энди Дэвису (Andy Davis) из NCC Group.

Ядро

Выражаем благодарность за помощь Брэндону Азаду (Brandon Azad) из подразделения Google Project Zero и Штефану Рёттгеру (Stephen Roettger) из Google.

libxml2

Выражаем благодарность за помощь анонимному исследователю.

Запись добавлена 14 декабря 2020 г.

Login Window

Выражаем благодарность за помощь Робу Мортону (Rob Morton) из Leidos.

Запись добавлена 16 марта 2021 г.

Login Window

Выражаем благодарность за помощь Робу Мортону (Rob Morton) из Leidos.

Photos Storage

Выражаем благодарность за помощь Паулосу Йибело (Paulos Yibelo) из LimeHats.

Quick Look

Выражаем благодарность за помощь Чабе Фицл (Csaba Fitzl, @theevilbit) и Войцеху Регуле (Wojciech Reguła) из SecuRing (wojciechregula.blog).

Safari

Выражаем благодарность за помощь Gabriel Corona и Narendra Bhati (@imnarendrabhati) из компании Suma Soft Pvt. Ltd. в Пуне (Индия).

Безопасность

Выражаем благодарность за помощь Кристиану Старкджоханну (Christian Starkjohann) из Objective Development Software GmbH.

Системные настройки

Выражаем благодарность за помощь Чабе Фицлю (Csaba Fitzl) (@theevilbit) из Offensive Security.

Запись добавлена 16 марта 2021 г.

Системные настройки

Выражаем благодарность за помощь Чабе Фицлю (Csaba Fitzl) (@theevilbit) из Offensive Security.

WebKit

Maximilian Blochberger из отдела безопасности группы Distributed Systems Group Гамбургского университета

Запись добавлена 25 мая 2022 г.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: