Obsah zabezpečenia v systéme macOS Catalina 10.15.6, aktualizácii zabezpečenia 2020-004 Mojave a aktualizácii zabezpečenia 2020-004 High Sierra

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Catalina 10.15.6, aktualizácii zabezpečenia 2020-004 Mojave a aktualizácii zabezpečenia 2020-004 High Sierra.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Catalina 10.15.6, aktualizácia zabezpečenia 2020-004 Mojave, aktualizácia zabezpečenia 2020-004 High Sierra

Dátum vydania: 15. júla 2020

AMD

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9927: Lilang Wu v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum aktualizovania záznamu: 5. augusta 2020

Audio

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9884: Yu Zhou (@yuzhou6666) z tímu 小鸡帮 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2020-9889: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, JunDong Xie a XingWei Lin z tímu Ant-Financial Light-Year Security Lab

Dátum aktualizovania záznamu: 5. augusta 2020

Audio

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9888: JunDong Xie a XingWei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-9890: JunDong Xie a XingWei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-9891: JunDong Xie a XingWei Lin z tímu Ant-Financial Light-Year Security Lab

Dátum aktualizovania záznamu: 5. augusta 2020

Bluetooth

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2020-9928: Yu Wang zo spoločnosti Didi Research America

Dátum pridania záznamu: 5. augusta 2020

Bluetooth

Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9929: Yu Wang zo spoločnosti Didi Research America

Dátum pridania záznamu: 5. augusta 2020

Clang

Dostupné pre: macOS Catalina 10.15.5

Dosah: Súčasť Clang môže generovať počítačový kód, ktorý nesprávne presadzuje kódy funkcie Pointer Authentication

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2020-9870: Samuel Groß z tímu Google Project Zero

CoreAudio

Dostupné pre: macOS High Sierra 10.13.6

Dosah: Pretečenie buffera môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9866: Yu Zhou z tímu 小鸡帮 a Jundong Xie z tímu Ant-Financial Light-Year Security Lab

Core Bluetooth

Dostupné pre: macOS Catalina 10.15.5

Dosah: Vzdialený útočník môže spôsobiť neočakávané ukončenie aplikácie

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9869: Patrick Wardle zo spoločnosti Jamf

Dátum pridania záznamu: 5. augusta 2020

CoreCapture

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2020-9949: Proteas

Dátum pridania záznamu: 12. novembra 2020

CoreFoundation

Dostupné pre: macOS Catalina 10.15.5

Dosah: Lokálny používateľ môže byť schopný zobraziť si citlivé používateľské informácie

Popis: Pri spracovávaní premenných prostredia dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania.

CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)

Dátum aktualizovania záznamu: 5. augusta 2020

CoreGraphics

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9883: Anonymný výskumník, Mickey Jin zo spoločnosti Trend Micro

Dátum pridania záznamu: 24. júla 2020, dátum aktualizovania: 12. novembra 2020

Crash Reporter

Dostupné pre: macOS Catalina 10.15.5

Dosah: Škodlivá aplikácia môže byť schopná pracovať mimo svojho izolovaného priestoru

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2020-9865: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360 v spolupráci s tímom 360 BugCloud

Crash Reporter

Dostupné pre: macOS Catalina 10.15.5

Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení

Popis: V logike overovania ciest symbolických odkazov dochádzalo k problému. Tento problém bol vyriešený vylepšením čistenia ciest.

CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) z tímu Zero-dayits Team of Legendsec spoločnosti Qi'anxin Group

Dátum pridania záznamu: 5. augusta 2020, dátum aktualizovania: 17. decembra 2021

FontParser

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9980: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

Dátum pridania záznamu: 21. septembra 2020, dátum aktualizovania: 19. októbra 2020

Graphics Drivers

Dostupné pre: macOS Catalina 10.15.5

Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9799: ABC Research s.r.o.

Dátum aktualizovania záznamu: 24. júla 2020

Heimdal

Dostupné pre: macOS Catalina 10.15.5

Dosah: Lokálny používateľ môže byť schopný spôsobiť únik citlivých používateľských informácií

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2020-9913: Cody Thomas zo spoločnosti SpecterOps

ImageIO

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-27933: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

Dátum pridania záznamu: 16. marca 2021

ImageIO

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: V súčasti openEXR dochádzalo k viacerým problémom s pretečením buffera

Popis: V súčasti openEXR dochádzalo k viacerým problémom, ktoré boli vyriešené vylepšením kontrol.

CVE-2020-11758: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-11759: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-11760: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-11761: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-11762: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-11763: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-11764: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-11765: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

Dátum pridania záznamu: 8. septembra 2020

ImageIO

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9871: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-9872: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-9874: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-9879: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-9936: Mickey Jin zo spoločnosti Trend Micro

CVE-2020-9937: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

Dátum aktualizovania záznamu: 5. augusta 2020

ImageIO

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9919: Mickey Jin zo spoločnosti Trend Micro

Dátum pridania záznamu: 24. júla 2020

ImageIO

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9876: Mickey Jin zo spoločnosti Trend Micro

Dátum pridania záznamu: 24. júla 2020

ImageIO

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9873: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

Dátum pridania záznamu: 24. júla 2020

ImageIO

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9877: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

Dátum pridania záznamu: 5. augusta 2020

ImageIO

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9875: Mickey Jin zo spoločnosti Trend Micro

Dátum pridania záznamu: 5. augusta 2020

ImageIO

Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9873: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

CVE-2020-9984: Anonymný výskumník

Dátum pridania záznamu: 21. septembra 2020

Image Processing

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Zobrazenie súboru JPEG so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9887: Mickey Jin zo spoločnosti Trend Micro

Dátum pridania záznamu: 8. septembra 2020

Intel Graphics Driver

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9908: Junzhi Lu (@pwn0rz) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 24. júla 2020, dátum aktualizovania: 31. augusta 2020

Intel Graphics Driver

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2020-9990: ABC Research s.r.l. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, ABC Research s. r. o. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 21. septembra 2020

Intel Graphics Driver

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9921: ABC Research s. r. o. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 5. augusta 2020

Kernel

Dostupné pre: macOS Catalina 10.15.5

Dosah: Útočník s oprávneniami v sieti môže byť schopný vložiť kód do aktívnych pripojení v rámci tunela VPN

Popis: Dochádzalo k problému so smerovaním, ktorý bol vyriešený vylepšením obmedzení.

CVE-2019-14899: William J. Tolley, Beau Kujath a Jedidiah R. Crandall

Kernel

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-9904: Tielei Wang z tímu Pangu Lab

Dátum pridania záznamu: 24. júla 2020

Kernel

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-9924: Matt DeVore zo spoločnosti Google

Dátum pridania záznamu: 24. júla 2020

Kernel

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením správy stavu.

CVE-2020-9892: Andy Nguyen zo spoločnosti Google

Dátum pridania záznamu: 24. júla 2020

Kernel

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9863: Xinru Chi z tímu Pangu Lab

Dátum aktualizovania záznamu: 5. augusta 2020

Kernel

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9902: Xinru Chi a Tielei Wang z tímu Pangu Lab

Dátum pridania záznamu: 5. augusta 2020

Kernel

Dostupné pre: macOS Catalina 10.15.5

Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9905: Raz Mashat (@RazMashat) zo spoločnosti ZecOps

Dátum pridania záznamu: 5. augusta 2020

Kernel

Dostupné pre: macOS Catalina 10.15.5

Dosah: Aplikácia so škodlivým kódom môže byť schopná odhaliť vyhradenú pamäť

Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-9997: Catalin Valeriu Lita zo spoločnosti SecurityScorecard

Dátum pridania záznamu: 21. septembra 2020

libxml2

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2020-9926: Nájdené programom OSS-Fuzz

Dátum pridania záznamu: 16. marca 2021

libxpc

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dosah: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2020-9994: Apple

Dátum pridania záznamu: 21. septembra 2020

Login Window

Dostupné pre: macOS Catalina 10.15.5

Dosah: Používateľ sa môže neočakávane prihlásiť do účtu iného používateľa

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-9935: Anonymný výskumník

Dátum pridania záznamu: 21. septembra 2020

Mail

Dostupné pre: macOS Catalina 10.15.5

Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-19906

Dátum pridania záznamu: 24. júla 2020, dátum aktualizovania: 8. septembra 2020

Mail

Dostupné pre: macOS Catalina 10.15.5

Dosah: Poštový server so škodlivým kódom môže prepísať ľubovoľné poštové súbory

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2020-9920: YongYue Wang (alias BigChan) z tímu AF spoločnosti Hillstone Networks

Dátum pridania záznamu: 24. júla 2020

Mail

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Spracovanie e‑mailu so škodlivým kódom môže viesť k zápisu ľubovoľných súborov

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-9922: Mikko Kenttälä (@Turmio_) zo spoločnosti SensorFu

Dátum pridania záznamu: 12. novembra 2020

Messages

Dostupné pre: macOS Catalina 10.15.5

Dosah: Používateľ odstránený zo skupiny iMessage sa môže k tejto skupine znova pripojiť

Popis: Pri spracovávaní tapbackov iMessage dochádzalo k problému. Tento problém bol vyriešený ďalším overovaním.

CVE-2020-9885: Anonymný výskumník, Suryansh Mansharamani zo strednej školy WWP High School North (medium.com/@suryanshmansha)

Model I/O

Dostupné pre: macOS Catalina 10.15.5

Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9878: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom

Model I/O

Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9880: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom

Dátum pridania záznamu: 24. júla 2020, dátum aktualizovania: 21. septembra 2020

Model I/O

Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9878: Aleksandar Nikolic zo spoločnosti Cisco Talos, Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom

CVE-2020-9881: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom

CVE-2020-9882: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom

CVE-2020-9940: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom

CVE-2020-9985: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom

Dátum pridania záznamu: 24. júla 2020, dátum aktualizovania: 21. septembra 2020

OpenLDAP

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2020-12243

Dátum pridania záznamu: 21. septembra 2020

Perl

Dostupné pre: macOS Catalina 10.15.5

Dosah: Pretečenie celých čísel v kompilátore regulárnych výrazov jazyka Perl môže vzdialenému útočníkovi umožniť vkladať vlastné inštrukcie do skompilovanej podoby regulárneho výrazu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2020-10878: Hugo van der Sanden a Slaven Rezic

Dátum pridania záznamu: 16. marca 2021

Perl

Dostupné pre: macOS Catalina 10.15.5

Dosah: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2020-12723: Sergey Aleynikov

Dátum pridania záznamu: 16. marca 2021

rsync

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dosah: Vzdialený útočník môže byť schopný prepísať existujúce súbory

Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2014-9512: gaojianfeng

Dátum pridania záznamu: 24. júla 2020

Sandbox

Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9930: Zhiyi Zhang z tímu Codesafe Team of Legendsec spoločnosti Qi'anxin Group

Dátum pridania záznamu: 15. decembra 2020

Sandbox

Dostupné pre: macOS Catalina 10.15.5

Dosah: Lokálny používateľ môže byť schopný načítať nepodpísané rozšírenia jadra

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2020-9939: @jinmo123, @setuid0x0_ a @insu_yun_en z tímu @SSLab_Gatech v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 5. augusta 2020

Security

Dostupné pre: macOS Catalina 10.15.5

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2020-9864: Alexander Holodny

Security

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Útočník mohol byť schopný vydávať sa za dôveryhodnú webovú stránku pomocou materiálu zdieľaného kľúča pre certifikát pridaný správcom

Popis: Pri spracovávaní certifikátov pridaných správcom dochádzalo k problému s overovaním certifikátov. Tento problém bol vyriešený vylepšením overovania certifikátov.

CVE-2020-9868: Brian Wolff zo spoločnosti Asana

Dátum pridania záznamu: 24. júla 2020

Security

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2020-9854: Ilias Morad (A2nkF)

Dátum pridania záznamu: 24. júla 2020

sysdiagnose

Dostupné pre: macOS Catalina 10.15.5

Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení

Popis: V logike overovania ciest symbolických odkazov dochádzalo k problému. Tento problém bol vyriešený vylepšením čistenia ciest.

CVE-2020-9901: Tim Michaud (@TimGMichaud) zo spoločnosti Leviathan, Zhongcheng Li (CK01) z tímu Zero-dayits Team of Legendsec spoločnosti Qi'anxin Group

Dátum pridania záznamu: 5. augusta 2020, dátum aktualizovania: 31. augusta 2020

Vim

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dosah: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2019-20807: Guilherme de Almeida Suckevicz

WebDAV

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru

Popis: Tento problém bol vyriešený vylepšením autorizácie.

CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)

Dátum pridania záznamu: 8. septembra 2020

Wi-Fi

Dostupné pre: macOS Catalina 10.15.5

Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9918: Jianjun Dai z tímu 360 Alpha Lab v spolupráci s tímom 360 BugCloud (bugcloud.360.cn)

Wi-Fi

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9899: Yu Wang z tímu Didi Research America

Dátum pridania záznamu: 24. júla 2020

Wi-Fi

Dostupné pre: macOS Catalina 10.15.5

Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9906: Ian Beer z tímu Google Project Zero

Dátum pridania záznamu: 24. júla 2020

Ďalšie poďakovanie

CoreFoundation

Poďakovanie za pomoc si zaslúži Bobby Pelletier.

Dátum pridania záznamu: 8. septembra 2020

ImageIO

Poďakovanie za pomoci si zaslúži Xingwei Lin z tímu Ant-Financial Light-Year Security Lab.

Dátum pridania záznamu: 21. septembra 2020

Siri

Poďakovanie za pomoc si zaslúžia Yuval Ron, Amichai Shulman a Eli Biham z univerzity Technion – Israel Institute of Technology.

Dátum pridania záznamu: 5. augusta 2020

USB Audio

Poďakovanie za pomoc si zaslúži Andy Davis zo spoločnosti NCC Group.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: