Obsah zabezpečenia v systéme macOS Catalina 10.15.6, aktualizácii zabezpečenia 2020-004 Mojave a aktualizácii zabezpečenia 2020-004 High Sierra

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Catalina 10.15.6, aktualizácii zabezpečenia 2020-004 Mojave a aktualizácii zabezpečenia 2020-004 High Sierra.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Catalina 10.15.6, aktualizácia zabezpečenia 2020-004 Mojave, aktualizácia zabezpečenia 2020-004 High Sierra

AMD

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9927: Lilang Wu v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Audio

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9884: Yu Zhou (@yuzhou6666) z tímu 小鸡帮 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2020-9889: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, JunDong Xie a XingWei Lin z tímu Ant-Financial Light-Year Security Lab

Audio

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9888: JunDong Xie a XingWei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-9890: JunDong Xie a XingWei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-9891: JunDong Xie a XingWei Lin z tímu Ant-Financial Light-Year Security Lab

Bluetooth

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2020-9928: Yu Wang zo spoločnosti Didi Research America

Bluetooth

Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9929: Yu Wang zo spoločnosti Didi Research America

Clang

Dostupné pre: macOS Catalina 10.15.5

Dosah: Súčasť Clang môže generovať počítačový kód, ktorý nesprávne presadzuje kódy funkcie Pointer Authentication

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2020-9870: Samuel Groß z tímu Google Project Zero

CoreAudio

Dostupné pre: macOS High Sierra 10.13.6

Dosah: Pretečenie buffera môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9866: Yu Zhou z tímu 小鸡帮 a Jundong Xie z tímu Ant-Financial Light-Year Security Lab

Core Bluetooth

Dostupné pre: macOS Catalina 10.15.5

Dosah: Vzdialený útočník môže spôsobiť neočakávané ukončenie aplikácie

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9869: Patrick Wardle zo spoločnosti Jamf

CoreCapture

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2020-9949: Proteas

CoreFoundation

Dostupné pre: macOS Catalina 10.15.5

Dosah: Lokálny používateľ môže byť schopný zobraziť si citlivé používateľské informácie

Popis: Pri spracovávaní premenných prostredia dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania.

CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)

CoreGraphics

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9883: Anonymný výskumník, Mickey Jin zo spoločnosti Trend Micro

Crash Reporter

Dostupné pre: macOS Catalina 10.15.5

Dosah: Škodlivá aplikácia môže byť schopná pracovať mimo svojho izolovaného priestoru

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2020-9865: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360 v spolupráci s tímom 360 BugCloud

Crash Reporter

Dostupné pre: macOS Catalina 10.15.5

Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení

Popis: V logike overovania ciest symbolických odkazov dochádzalo k problému. Tento problém bol vyriešený vylepšením čistenia ciest.

CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) z tímu Zero-dayits Team of Legendsec spoločnosti Qi'anxin Group

FontParser

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9980: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

Graphics Drivers

Dostupné pre: macOS Catalina 10.15.5

Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9799: ABC Research s.r.o.

Heimdal

Dostupné pre: macOS Catalina 10.15.5

Dosah: Lokálny používateľ môže byť schopný spôsobiť únik citlivých používateľských informácií

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2020-9913: Cody Thomas zo spoločnosti SpecterOps

ImageIO

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-27933: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

ImageIO

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: V súčasti openEXR dochádzalo k viacerým problémom s pretečením buffera

Popis: V súčasti openEXR dochádzalo k viacerým problémom, ktoré boli vyriešené vylepšením kontrol.

CVE-2020-11758: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-11759: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-11760: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-11761: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-11762: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-11763: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-11764: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-11765: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

ImageIO

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9871: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-9872: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-9874: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-9879: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-9936: Mickey Jin zo spoločnosti Trend Micro

CVE-2020-9937: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

ImageIO

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9919: Mickey Jin zo spoločnosti Trend Micro

ImageIO

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9876: Mickey Jin zo spoločnosti Trend Micro

ImageIO

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9873: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

ImageIO

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9877: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

ImageIO

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9875: Mickey Jin zo spoločnosti Trend Micro

ImageIO

Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9873: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-9984: Anonymný výskumník

Image Processing

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Zobrazenie súboru JPEG so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9887: Mickey Jin zo spoločnosti Trend Micro

Intel Graphics Driver

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9908: Junzhi Lu (@pwn0rz) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Intel Graphics Driver

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2020-9990: ABC Research s.r.l. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, ABC Research s. r. o. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Intel Graphics Driver

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9921: ABC Research s. r. o. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Kernel

Dostupné pre: macOS Catalina 10.15.5

Dosah: Útočník s oprávneniami v sieti môže byť schopný vložiť kód do aktívnych pripojení v rámci tunela VPN

Popis: Dochádzalo k problému so smerovaním, ktorý bol vyriešený vylepšením obmedzení.

CVE-2019-14899: William J. Tolley, Beau Kujath a Jedidiah R. Crandall

Kernel

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-9904: Tielei Wang z tímu Pangu Lab

Kernel

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-9924: Matt DeVore zo spoločnosti Google

Kernel

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením správy stavu.

CVE-2020-9892: Andy Nguyen zo spoločnosti Google

Kernel

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9863: Xinru Chi z tímu Pangu Lab

Kernel

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9902: Xinru Chi a Tielei Wang z tímu Pangu Lab

Kernel

Dostupné pre: macOS Catalina 10.15.5

Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9905: Raz Mashat (@RazMashat) zo spoločnosti ZecOps

Kernel

Dostupné pre: macOS Catalina 10.15.5

Dosah: Aplikácia so škodlivým kódom môže byť schopná odhaliť vyhradenú pamäť

Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-9997: Catalin Valeriu Lita zo spoločnosti SecurityScorecard

libxml2

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2020-9926: Nájdené programom OSS-Fuzz

libxpc

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dosah: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2020-9994: Apple

Login Window

Dostupné pre: macOS Catalina 10.15.5

Dosah: Používateľ sa môže neočakávane prihlásiť do účtu iného používateľa

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-9935: Anonymný výskumník

Mail

Dostupné pre: macOS Catalina 10.15.5

Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-19906

Mail

Dostupné pre: macOS Catalina 10.15.5

Dosah: Poštový server so škodlivým kódom môže prepísať ľubovoľné poštové súbory

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2020-9920: YongYue Wang (alias BigChan) z tímu AF spoločnosti Hillstone Networks

Mail

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Spracovanie e‑mailu so škodlivým kódom môže viesť k zápisu ľubovoľných súborov

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-9922: Mikko Kenttälä (@Turmio_) zo spoločnosti SensorFu

Messages

Dostupné pre: macOS Catalina 10.15.5

Dosah: Používateľ odstránený zo skupiny iMessage sa môže k tejto skupine znova pripojiť

Popis: Pri spracovávaní tapbackov iMessage dochádzalo k problému. Tento problém bol vyriešený ďalším overovaním.

CVE-2020-9885: Anonymný výskumník, Suryansh Mansharamani zo strednej školy WWP High School North (medium.com/@suryanshmansha)

Model I/O

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9878: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom

Model I/O

Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9880: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom

Model I/O

Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9878: Aleksandar Nikolic zo spoločnosti Cisco Talos, Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom

CVE-2020-9881: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom

CVE-2020-9882: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom

CVE-2020-9940: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom

CVE-2020-9985: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom

OpenLDAP

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2020-12243

Perl

Dostupné pre: macOS Catalina 10.15.5

Dosah: Pretečenie celých čísel v kompilátore regulárnych výrazov jazyka Perl môže vzdialenému útočníkovi umožniť vkladať vlastné inštrukcie do skompilovanej podoby regulárneho výrazu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2020-10878: Hugo van der Sanden a Slaven Rezic

Perl

Dostupné pre: macOS Catalina 10.15.5

Dosah: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2020-12723: Sergey Aleynikov

rsync

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dosah: Vzdialený útočník môže byť schopný prepísať existujúce súbory

Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2014-9512: gaojianfeng

Sandbox

Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9930: Zhiyi Zhang z tímu Codesafe Team of Legendsec spoločnosti Qi'anxin Group

Sandbox

Dostupné pre: macOS Catalina 10.15.5

Dosah: Lokálny používateľ môže byť schopný načítať nepodpísané rozšírenia jadra

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2020-9939: @jinmo123, @setuid0x0_ a @insu_yun_en z tímu @SSLab_Gatech v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Security

Dostupné pre: macOS Catalina 10.15.5

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2020-9864: Alexander Holodny

Security

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Útočník mohol byť schopný vydávať sa za dôveryhodnú webovú stránku pomocou materiálu zdieľaného kľúča pre certifikát pridaný správcom

Popis: Pri spracovávaní certifikátov pridaných správcom dochádzalo k problému s overovaním certifikátov. Tento problém bol vyriešený vylepšením overovania certifikátov.

CVE-2020-9868: Brian Wolff zo spoločnosti Asana

Security

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2020-9854: Ilias Morad (A2nkF)

sysdiagnose

Dostupné pre: macOS Catalina 10.15.5

Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení

Popis: V logike overovania ciest symbolických odkazov dochádzalo k problému. Tento problém bol vyriešený vylepšením čistenia ciest.

CVE-2020-9901: Tim Michaud (@TimGMichaud) zo spoločnosti Leviathan, Zhongcheng Li (CK01) z tímu Zero-dayits Team of Legendsec spoločnosti Qi'anxin Group

Vim

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2019-20807: Guilherme de Almeida Suckevicz

WebDAV

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru

Popis: Tento problém bol vyriešený vylepšením autorizácie.

CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)

Wi-Fi

Dostupné pre: macOS Catalina 10.15.5

Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9918: Jianjun Dai z tímu 360 Alpha Lab v spolupráci s tímom 360 BugCloud (bugcloud.360.cn)

Wi-Fi

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9899: Yu Wang z tímu Didi Research America

Wi-Fi

Dostupné pre: macOS Catalina 10.15.5

Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9906: Ian Beer z tímu Google Project Zero

Ďalšie poďakovanie

CoreFoundation

Poďakovanie za pomoc si zaslúži Bobby Pelletier.

ImageIO

Poďakovanie za pomoci si zaslúži Xingwei Lin z tímu Ant-Financial Light-Year Security Lab.

Siri

Poďakovanie za pomoc si zaslúžia Yuval Ron, Amichai Shulman a Eli Biham z univerzity Technion – Israel Institute of Technology.

USB Audio

Poďakovanie za pomoc si zaslúži Andy Davis zo spoločnosti NCC Group.