Obsah zabezpečenia v systéme macOS Big Sur 11.1, aktualizácii zabezpečenia 2020-001 Catalina a aktualizácii zabezpečenia 2020-007 Mojave
V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Big Sur 11.1, aktualizácii zabezpečenia 2020-001 Catalina a aktualizácii zabezpečenia 2020-007 Mojave.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Big Sur 11.1, aktualizácia zabezpečenia 2020-001 Catalina, aktualizácia zabezpečenia 2020-007 Mojave
AMD
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-27914: Yu Wang (Didi Research America)
CVE-2020-27915: Yu Wang (Didi Research America)
AMD
Dostupné pre: macOS Big Sur 11.0.1
Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2020-27936: Yu Wang zo spoločnosti Didi Research America
App Store
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2020-27903: Zhipeng Huo (@R3dF09) z tímu Security Xuanwu Lab spoločnosti Tencent
AppleGraphicsControl
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2020-27941: shrek_wzw
AppleMobileFileIntegrity
Dostupné pre: macOS Big Sur 11.0.1
Dopad: Apka so škodlivým kódom môže byť schopná obísť nastavenia ochrany súkromia
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-29621: Wojciech Reguła (@_r3ggi) zo spoločnosti SecuRing
Audio
Dostupné pre: macOS Big Sur 11.0.1
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k odhaleniu vyhradenej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-29610: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Audio
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-27910: JunDong Xie a XingWei Lin z tímu Ant Security Light-Year Lab
Audio
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Aplikácia so škodlivým kódom môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9943: JunDong Xie z tímu Ant Security Light-Year Lab
Audio
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9944: JunDong Xie z tímu Ant Security Light-Year Lab
Audio
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-27916: JunDong Xie z tímu Ant Security Light-Year Lab
Bluetooth
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo poškodenie haldy
Popis: Dochádzalo k viacerým problémom s pretečením celočíselných hodnôt, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2020-27906: Zuozhi Fan (@pattern_F_) z tímu Ant Group Tianqiong Security Lab
CoreAudio
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-27948: JunDong Xie z tímu Ant Security Light-Year Lab
CoreAudio
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-27908: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, JunDong Xie a Xingwei Lin z tímu Ant Security Light-Year Lab
CVE-2020-9960: JunDong Xie a Xingwei Lin z tímu Ant Security Light-Year Lab
CoreAudio
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-10017: Francis v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, JunDong Xie z tímu Ant Security Light-Year Lab
CoreText
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-27922: Mickey Jin zo spoločnosti Trend Micro
CUPS
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Aplikácia so škodlivým kódom môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-10001: Niky
FontParser
Dostupné pre: macOS Big Sur 11.0.1
Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-27946: Mateusz Jurczyk z tímu Google Project Zero
FontParser
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.
CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)
FontParser
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-27952: Anonymný výskumník, Mickey Jin a Junzhi Lu (Trend Micro)
FontParser
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9956: Mickey Jin a Junzhi Lu z tímu Mobile Security Research Team spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
FontParser
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní súborov písiem dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2020-27931: Apple
CVE-2020-27943: Mateusz Jurczyk z tímu Google Project Zero
CVE-2020-27944: Mateusz Jurczyk z tímu Google Project Zero
CVE-2020-29624: Mateusz Jurczyk z tímu Google Project Zero
FontParser
Dostupné pre: macOS Big Sur 11.0.1
Dopad: Vzdialený útočník môže byť schopný spôsobiť únik pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-29608: Xingwei Lin z tímu Ant Security Light-Year Lab
Foundation
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Lokálny používateľ môže byť schopný čítať ľubovoľné súbory
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-10002: James Hutchins
Graphics Drivers
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-27947: Spoločnosť ABC Research s.r.o. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Liu Long z tímu Ant Security Light-Year Lab
Graphics Drivers
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-29612: ABC Research s. r. o. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
HomeKit
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Útočník s oprávneniami v sieti môže byť schopný neočakávane upraviť stav aplikácie
Popis: Tento problém bol vyriešený vylepšením šírenia nastavení.
CVE-2020-9978: Luyi Xing, Dongfang Zhao a Xiaofeng Wang (Indiana University Bloomington), Yan Jia (Xidian University a University of Chinese Academy of Sciences) a Bin Yuan (HuaZhong University of Science and Technology)
ImageIO
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-27939: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
CVE-2020-29625: Xingwei Lin z tímu Ant Security Light-Year Lab
ImageIO
Dostupné pre: macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-29615: Xingwei Lin z tímu Ant Security Light-Year Lab
ImageIO
Dostupné pre: macOS Big Sur 11.0.1
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-29616: zhouat v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
ImageIO
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-27924: Lei Sun
CVE-2020-29618: XingWei Lin z tímu Ant Security Light-Year Lab
ImageIO
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-29611: Alexandru-Vlad Niculae v spolupráci s tímom Google Project Zero
ImageIO
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-29617: XingWei Lin z tímu Ant Security Light-Year Lab
CVE-2020-29619: XingWei Lin z tímu Ant Security Light-Year Lab
ImageIO
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-27912: XingWei Lin (Ant Security Light-Year Lab)
CVE-2020-27923: Lei Sun
Image Processing
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-27919: Hou JingYi (@hjy79425575) (Qihoo 360 CERT), XingWei Lin (Ant Security Light-Year Lab)
Intel Graphics Driver
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-10015: ABC Research s.r.o. v spolupráci s Trend Micro Zero Day Initiative
CVE-2020-27897: Xiaolong Bai a Min (Spark) Zheng zo spoločnosti Alibaba Inc. a Luyi Xing z Bloomingtonskej univerzity v Indiane
Intel Graphics Driver
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-27907: Spoločnosť ABC Research s.r.o. v spolupráci s Trend Micro Zero Day Initiative, Liu Long (Ant Security Light-Year Lab)
Kernel
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-10016: Alex Helie
Kernel
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2020-9967: Alex Plaskett (@alexjplaskett)
Kernel
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2020-9975: Tielei Wang z tímu Pangu Lab
Kernel
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2020-27921: Linus Henze (pinauten.de)
Kernel
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Dopad: Aplikácia so škodlivým kódom môže spôsobovať neočakávané zmeny v pamäti patriacej procesom sledovaným nástrojom DTrace
Popis: Tento problém bol vyriešený vylepšením kontrol, aby sa zabránilo neoprávneným akciám.
CVE-2020-27949: Steffen Klee (@_kleest) z Technickej univerzity v Darmstadte, Secure Mobile Networking Lab
Kernel
Dostupné pre: macOS Big Sur 11.0.1
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2020-29620: Csaba Fitzl (@theevilbit) z tímu Offensive Security
libxml2
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-27911: Nájdené programom OSS-Fuzz
libxml2
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2020-27920: Nájdené programom OSS-Fuzz
libxml2
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2020-27926: Nájdené programom OSS-Fuzz
libxpc
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Aplikácia so škodlivým kódom môže byť schopná pracovať mimo svojho sandboxu
Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.
CVE-2020-10014: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab)
Logging
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2020-10010: Tommy Muir (@Muirey03)
Login Window
Dostupné pre: macOS Big Sur 11.0.1
Dopad: Útočník s oprávneniami v sieti môže byť schopný obísť zásady autentifikácie
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-29633: Jewel Lambert zo spoločnosti Original Spin, LLC.
Model I/O
Dostupné pre: macOS Big Sur 11.0.1
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-29614: ZhiWei Sun(@5n1p3r0010) z tímu Topsec Alpha Lab
Model I/O
Dostupné pre: macOS Catalina 10.15.7
Dopad: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-13520: Aleksandar Nikolic zo spoločnosti Cisco Talos
Model I/O
Dostupné pre: macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Dopad: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-9972: Aleksandar Nikolic zo spoločnosti Cisco Talos
Model I/O
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-13524: Aleksandar Nikolic zo spoločnosti Cisco Talos
Model I/O
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Otvorenie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-10004: Aleksandar Nikolic zo spoločnosti Cisco Talos
NSRemoteView
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2020-27901: Thijs Alkemade (Computest Research Division)
Power Management
Dostupné pre: macOS Big Sur 11.0.1
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-27938: Tim Michaud (@TimGMichaud) z tímu Leviathan
Power Management
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-10007: singi@theori v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Quick Look
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Spracovanie dokumentu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.
CVE-2020-10012: Heige (KnownSec 404 Team, knownsec.com) a Bo Qu (Palo Alto Networks, paloaltonetworks.com)
Ruby
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Vzdialený útočník môže byť schopný upraviť súborový systém
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2020-27896: Anonymný výskumník
System Preferences
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-10009: Thijs Alkemade z divízie výskumu spoločnosti Computest
WebKit Storage
Dostupné pre: macOS Big Sur 11.0.1
Dopad: Používateľ nemusí byť schopný úplne vymazať históriu prezerania
Popis: Pri použití možnosti Vymazať históriu a dáta webstránok sa nevyčistila história. Tento problém bol vyriešený vylepšením vymazávania dát.
CVE-2020-29623: Simon Hunt zo spoločnosti OvalTwo LTD
WebRTC
Dostupné pre: macOS Big Sur 11.0.1
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2020-15969: Anonymný výskumník
Wi-Fi
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Dopad: Útočník môže byť schopný obísť funkciu Managed Frame Protection
Popis: Dochádzalo k problému s odmietnutím služby, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2020-27898: Stephan Marais z Johannesburskej univerzity
Ďalšie poďakovanie
CoreAudio
Poďakovanie za pomoc si zaslúžia JunDong Xie a Xingwei Lin z tímu Ant Security Light-Year Lab.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.