Obsah zabezpečenia v systéme macOS Catalina 10.15.7, aktualizácii zabezpečenia 2020-005 High Sierra a aktualizácii zabezpečenia 2020-005 Mojave

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Catalina 10.15.7, aktualizácii zabezpečenia 2020-005 High Sierra a aktualizácii zabezpečenia 2020-005 Mojave.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Catalina 10.15.7, aktualizácia zabezpečenia 2020-005 High Sierra, aktualizácia zabezpečenia 2020-005 Mojave

Dátum vydania: 24. septembra 2020

CoreAudio

Dostupné pre: macOS Catalina 10.15

Dosah: Prehratie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9954: Francis v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, JunDong Xie z tímu Ant Group Light-Year Security Lab

Dátum pridania záznamu: 12. novembra 2020

Služba Nájsť

Dostupné pre: macOS Catalina 10.15

Dosah: Škodlivá aplikácia môže byť schopná čítať citlivé informácie o polohe

Popis: Pri niektorých súboroch v domovskom priečinku dochádzalo k problému s prístupom k súborom. Tento problém bol vyriešený vylepšením obmedzení prístupu.

CVE-2020-9986: Tim Kornhuber, Milan Stute a Alexander Heinrich z Technickej univerzity v Darmstadte, Secure Mobile Networking Lab

Dátum pridania záznamu: 12. novembra 2020

ImageIO

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9961: Xingwei Lin z tímu Ant Security Light-Year Lab

Dátum aktualizovania záznamu: 12. novembra 2020

libxml2

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Spracovanie súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2020-9981: Nájdené programom OSS-Fuzz

Dátum pridania záznamu: 12. novembra 2020, dátum aktualizovania: 16. marca 2021

Mail

Dostupné pre: macOS High Sierra 10.13.6

Dosah: Vzdialený útočník môže byť schopný neočakávane upraviť stav aplikácie

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2020-9941: Fabian Ising z Univerzity aplikovaných vied FH Münster a Damian Poddebniak z Univerzity aplikovaných vied FH Münster

Model I/O

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-10011: Aleksandar Nikolic zo spoločnosti Cisco Talos

CVE-2020-9973: Aleksandar Nikolic zo spoločnosti Cisco Talos

Dátum aktualizovania záznamu: 12. novembra 2020

Model I/O

Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15

Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-13520: Aleksandar Nikolic zo spoločnosti Cisco Talos

Dátum pridania záznamu: 12. novembra 2020

Izolovaný priestor

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k súborom s obmedzeným prístupom

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2020-9968: Adam Chester(@_xpn_) zo spoločnosti TrustedSec

Dátum aktualizovania záznamu: 12. novembra 2020

Wi-Fi

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-10013: Yu Wang zo spoločnosti Didi Research America

Dátum pridania záznamu: 16. marca 2021

Ďalšie poďakovanie

Bluetooth

Poďakovanie za pomoc si zaslúži Andy Davis zo spoločnosti NCC Group.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: