Om säkerhetsinnehållet i macOS Catalina 10.15.6, säkerhetsuppdatering 2020-004 Mojave och säkerhetsuppdatering 2020-004 High Sierra

I det här dokumentet beskrivs säkerhetsinnehållet i macOS Catalina 10.15.6, säkerhetsuppdatering 2020-004 Mojave och säkerhetsuppdatering 2020-004 High Sierra.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

macOS Catalina 10.15.6, säkerhetsuppdatering 2020-004 Mojave, säkerhetsuppdatering 2020-004 High Sierra

AMD

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-9927: Lilang Wu i samarbete med TrendMicro Zero Day Initiative

Audio

Tillgängligt för: macOS Catalina 10.15.5

Effekt: bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9884: Yu Zhou(@yuzhou6666) på 小鸡帮 i samarbete med Trend Micro Zero Day Initiative

CVE-2020-9889: Anonym i samarbete med Trend Micros Zero Day Initiative, JunDong Xie och XingWei Li på Ant-financial Light-Year Security Lab

Audio

Tillgängligt för: macOS Catalina 10.15.5

Effekt: bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9888: JunDong Xie och XingWei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-9890: JunDong Xie och XingWei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-9891: JunDong Xie och XingWei Lin på Ant-Financial Light-Year Security Lab

Bluetooth

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2020-9928: Yu Wang på Didi Research America

Bluetooth

Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Effekt: en lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses

Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2020-9929: Yu Wang på Didi Research America

Clang

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Clang kan generera maskinkod som inte upprätthåller autentiseringskoder för pekare korrekt

Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2020-9870: Samuel Groß på Google Project Zero

CoreAudio

Tillgängligt för: macOS High Sierra 10.13.6

Effekt: ett buffertspill kan leda till körning av opålitlig kod

Beskrivning: ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2020-9866: Yu Zhou på 小鸡帮 och Jundong Xie på Ant-Financial Light-Year Security Lab

Core Bluetooth

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En fjärrangripare kan orsaka ett oväntat programavslut

Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2020-9869: Patrick Wardle på Jamf

CoreCapture

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2020-9949: Proteas

CoreFoundation

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En lokal användare kunde visa känslig användarinformation

Beskrivning: Ett problem förekom i hanteringen av miljövariabler. Problemet har åtgärdats genom förbättrad validering.

CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)

CoreGraphics

Tillgängligt för: macOS Catalina 10.15.5

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2020-9883: en anonym forskare, Mickey Jin på Trend Micro

Crash Reporter

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Ett skadligt program kan bryta sig ut från sin sandlåda

Beskrivning: Ett minnesfel åtgärdades genom borttagning av den sårbara koden.

CVE-2020-9865: Zhuo Liang på Qihoo 360 Vulcan Team i samarbete med 360 BugCloud

Crash Reporter

Tillgängligt för: macOS Catalina 10.15.5

Effekt: en lokal angripare kan höja sin behörighet

Beskrivning: Det förekom ett problem med logiken för validering av sökvägar för symboliska länkar. Problemet åtgärdades genom förbättrad sökvägssanering.

CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) från Zero-dayits-teamet på Legendsec från Qi'anxin Group

FontParser

Tillgängligt för: macOS Catalina 10.15.5

Effekt: bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9980: Xingwei Lin på Ant Security Light-Year Lab

Graphics Drivers

Tillgängligt för: macOS Catalina 10.15.5

Effekt: en skadlig app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9799: ABC Research s.r.o.

Heimdal

Tillgängligt för: macOS Catalina 10.15.5

Effekt: en lokal användare kan läcka känslig användarinformation

Beskrivning: problemet åtgärdades genom att förbättra dataskyddet.

CVE-2020-9913: Cody Thomas på SpecterOps

ImageIO

Tillgängligt för: macOS Catalina 10.15.5

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-27933: Xingwei Lin på Ant-Financial Light-Year Security Lab

ImageIO

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: flera problem med buffertspill förekom i openEXR

Beskrivning: flera problem i openEXR åtgärdades med förbättrade kontroller.

CVE-2020-11758: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-11759: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-11760: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-11761: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-11762: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-11763: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-11764: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-11765: Xingwei Lin på Ant-Financial Light-Year Security Lab

ImageIO

Tillgängligt för: macOS Catalina 10.15.5

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9871: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-9872: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-9874: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-9879: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-9936: Mickey Jin på Trend Micro

CVE-2020-9937: Xingwei Lin på Ant-Financial Light-Year Security Lab

ImageIO

Tillgängligt för: macOS Catalina 10.15.5

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2020-9919: Mickey Jin på Trend Micro

ImageIO

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: Öppnande av en uppsåtligt skadlig PDF-fil kan leda till att appen oväntat avslutas eller att opålitlig kod körs

Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9876: Mickey Jin på Trend Micro

ImageIO

Tillgängligt för: macOS Catalina 10.15.5

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-9873: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin på Ant-Financial Light-Year Security Lab

ImageIO

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9877: Xingwei Lin på Ant-Financial Light-Year Security Lab

ImageIO

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2020-9875: Mickey Jin på Trend Micro

ImageIO

Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-9873: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-9984: en anonym forskare

Image Processing

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: visning av en skadlig JPEG-fil kan leda till körning av opålitlig kod

Beskrivning: ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-9887: Mickey Jin på Trend Micro

Intel Graphics Driver

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: en lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-9908: Junzhi Lu(@pwn0rz) i samarbete med Trend Micros Zero Day Initiative

Intel Graphics Driver

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: en skadlig app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2020-9990: ABC Research s.r.l. i samarbete med Trend Micro Zero Day Initiative, ABC Research s.r.o. i samarbete med Trend Micro Zero Day Initiative

Intel Graphics Driver

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2020-9921: ABC Research s.r.o. i samarbete med Trend Micros Zero Day Initiative

Kernel

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En angripare i en behörig nätverksposition kan införas i anslutningar inom en VPN-tunnel

Beskrivning: Ett dirigeringsproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2019-14899: William J. Tolley, Beau Kujath och Jedidiah R. Crandall

Kernel

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-9904: Tielei Wang på Pangu Lab

Kernel

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: en fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-9924: Matt DeVore på Google

Kernel

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: ett skadligt program kan köra opålitlig kod med systembehörighet

Beskrivning: flera minnesfel åtgärdades med förbättrad tillståndshantering.

CVE-2020-9892: Andy Nguyen på Google

Kernel

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.

CVE-2020-9863: Xinru Chi på Pangu Lab

Kernel

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: ett program med skadligt innehåll kan ta reda på schemat för kernelminnet

Beskrivning: ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9902: Xinru Chi och Tielei Wang på Pangu Lab

Kernel

Tillgängligt för: macOS Catalina 10.15.5

Effekt: en fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2020-9905: Raz Mashat (@RazMashat) på ZecOps

Kernel

Tillgängligt för: macOS Catalina 10.15.5

Effekt: en skadlig app kan leda till att begränsat minne avslöjas

Beskrivning: ett problem med att information avslöjades åtgärdades genom förbättrad tillståndshantering.

CVE-2020-9997: Catalin Valeriu Lita på SecurityScorecard

libxml2

Tillgängligt för: macOS Catalina 10.15.5

Effekt: bearbetning av uppsåtligt skapad XML kan leda till en oväntad programavslutning eller körning av opålitlig kod

Beskrivning: ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2020-9926: hittad av OSS-Fuzz

libxpc

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: ett skadligt program kan godtyckligt skriva över filer

Beskrivning: ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2020-9994: Apple

Login Window

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En användare kan oväntat loggas in på en annan användares konto

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-9935: en anonym forskare

Mail

Tillgängligt för: macOS Catalina 10.15.5

Effekt: en fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2019-19906

Mail

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En skadlig e-postserver kan skriva över godtyckligt valda e-postfiler

Beskrivning: ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2020-9920: YongYue Wang AKA BigChan på Hillstone Networks AF Team

Mail

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: bearbetning av ett skadligt e-postmeddelande kan leda till skrivning av opålitliga filer

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-9922: Mikko Kenttälä (@Turmio_) på SensorFu

Messages

Tillgängligt för: macOS Catalina 10.15.5

Effekt: en användare som togs bort från en iMessage-grupp kunde gå med i gruppen igen

Beskrivning: Ett problem förekom i hanteringen av iMessage-tapbacks. Problemet åtgärdades med ytterligare verifiering.

CVE-2020-9885: en anonym forskare, Suryansh Mansharamani, på WWP High School North (medium.com/@suryanshmansha)

Model I/O

Tillgängligt för: macOS Catalina 10.15.5

Effekt: bearbetning av en USD-fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod

Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2020-9878: Holger Fuhrmannek på Deutsche Telekom Security

Model I/O

Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Effekt: Bearbetning av en USD-fil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod

Beskrivning: ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2020-9880: Holger Fuhrmannek på Deutsche Telekom Security

Model I/O

Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Effekt: bearbetning av en USD-fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod

Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2020-9878: Aleksandar Nikolic på Cisco Talos, Holger Fuhrmannek på Deutsche Telekom Security

CVE-2020-9881: Holger Fuhrmannek på Deutsche Telekom Security

CVE-2020-9882: Holger Fuhrmannek på Deutsche Telekom Security

CVE-2020-9940: Holger Fuhrmannek på Deutsche Telekom Security

CVE-2020-9985: Holger Fuhrmannek på Deutsche Telekom Security

OpenLDAP

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: en fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2020-12243

Perl

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Ett heltalsspill i PCRE (Perl regular expression compiler) kan göra det möjligt för en fjärrangripare att lägga in instruktioner i kompilerade versioner av reguljära uttryck

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2020-10878: Hugo van der Sanden och Slaven Rezic

Perl

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En fjärrangripare kan orsaka körning av opålitlig kod

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2020-12723: Sergey Aleynikov

rsync

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: en fjärrangripare kan skriva över befintliga filer

Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2014-9512: gaojianfeng

Sandbox

Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Effekt: en lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-9930: Zhiyi Zhang från Codesafe-teamet på Legendsec från Qi'anxin Group

Sandbox

Tillgängligt för: macOS Catalina 10.15.5

Effekt: en lokal användare kan läsa in osignerade kerneltillägg

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2020-9939: @jinmo123, @setuid0x0_ och @insu_yun_en på @SSLab_Gatech i samarbete med Trend Micros Zero Day Initiative

Security

Tillgängligt för: macOS Catalina 10.15.5

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2020-9864: Alexander Holodny

Security

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: En angripare kan utge sig för att tillhöra en betrodd webbplats med hjälp av delade nyckelmaterial för certifikat som läggs till av administratör

Beskrivning: Det fanns ett problem med valideringen av certifikat när certifikat tillagda av administratörer bearbetades. Problemet har åtgärdats genom förbättrad certifikatsvalidering.

CVE-2020-9868: Brian Wolff på Asana

Security

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: en app kan få högre behörighet

Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2020-9854: Ilias Morad (A2nkF)

sysdiagnose

Tillgängligt för: macOS Catalina 10.15.5

Effekt: en lokal angripare kan höja sin behörighet

Beskrivning: Det förekom ett problem med logiken för validering av sökvägar för symboliska länkar. Problemet åtgärdades genom förbättrad sökvägssanering.

CVE-2020-9901: Tim Michaud (@TimGMichaud) från Leviathan, Zhongcheng Li (CK01) från Zero-dayit-teamet Legendsec från Qi'anxin Group

Vim

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: en fjärrangripare kan orsaka körning av opålitlig kod

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2019-20807: Guilherme de Almeida Suckevicz

WebDAV

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: en process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: problemet åtgärdades med förbättrade behörigheter.

CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)

Wi-Fi

Tillgängligt för: macOS Catalina 10.15.5

Effekt: en fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-9918: Jianjun Dai på 360 Alpha Lab i samarbete med 360 BugCloud (bugcloud.360.cn)

Wi-Fi

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-9899: Yu Wang på Didi Research America

Wi-Fi

Tillgängligt för: macOS Catalina 10.15.5

Effekt: en fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt

Beskrivning: ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-9906: Ian Beer på Google Project Zero

Ytterligare tack

CoreFoundation

Vi vill tacka Bobby Pelletier för hjälpen.

ImageIO

Vi vill tacka Xingwei Lin på Ant-Financial Light-Year Security Lab för hjälpen.

Siri

Vi vill tacka Yuval Ron, Amichai Shulman och Eli Biham på Technion – Israel Institute of Technology för hjälpen.

USB Audio

Vi vill tacka Andy Davis på NCC Group för hjälpen.