Om säkerhetsinnehållet i macOS Catalina 10.15.3, säkerhetsuppdatering 2020-001 Mojave och säkerhetsuppdatering 2020-001 High Sierra

I det här dokumentet beskrivs säkerhetsinnehållet i macOS Catalina 10.15.3, säkerhetsuppdatering 2020-001 Mojave och säkerhetsuppdatering 2020-001 High Sierra.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

macOS Catalina 10.15.3, säkerhetsuppdatering 2020-001 Mojave, säkerhetsuppdatering 2020-001 High Sierra

Släpptes 28 januari 2020

AnnotationKit

Tillgängligt för macOS Catalina 10.15.2

Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-3877: en anonym forskare i samarbete med Trend Micros Zero Day Initiative

apache_mod_php

Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2

Effekt: Flera problem i PHP

Beskrivning: Flera problem åtgärdades genom att uppdatera till PHP-version 7.3.11.

CVE-2019-11043

Ljud

Tillgängligt för macOS Catalina 10.15.2

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2020-3857: Zhuo Liang på Qihoo 360 Vulcan Team

autofs

Tillgängligt för macOS Catalina 10.15.2

Effekt: Att söka efter och öppna en fil från en NFS-montering som kontrolleras av en angripare kunde kringgå Gatekeeper

Beskrivning: Detta åtgärdades genom ytterligare Gatekeeper-kontroller av filer som monterats genom en nätverksresurs.

CVE-2020-3866: Jose Castro Almeida (@HackerOn2Wheels) och René Kroka (@rene_kroka)

CoreBluetooth

Tillgängligt för macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15.2

Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-3848: Jianjun Dai på Qihoo 360 Alpha Lab

CVE-2020-3849: Jianjun Dai på Qihoo 360 Alpha Lab

CVE-2020-3850: Jianjun Dai på Qihoo 360 Alpha Lab

Uppdaterades 3 februari 2020

CoreBluetooth

Tillgängligt för macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15.2

Effekt: En fjärrangripare kan läcka minne

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-3847: Jianjun Dai på Qihoo 360 Alpha Lab

Uppdaterades 3 februari 2020

Crash Reporter

Tillgängligt för macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15.2

Effekt: Ett skadligt program kan få tillgång till begränsade filer

Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2020-3835: Csaba Fitzl (@theevilbit)

crontab

Tillgängligt för macOS Catalina 10.15.2

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2020-3863: James Hutchins

Lades till 8 september 2020

Hittat i appar

Tillgängligt för macOS Catalina 10.15.2

Effekt: Obehörig åtkomst till krypterade data

Beskrivning: Ett problem förekom där Siri-förslag hade åtkomst till krypterade data. Problemet åtgärdades genom att begränsa åtkomst till krypterade data.

CVE-2020-9774: Bob Gendler på National Institute of Standards and Technology

Uppdaterades 28 juli 2020

Bildbearbetning

Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2

Effekt: Visning av en skadlig JPEG-fil kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-3827: Samuel Groß på Google Project Zero

ImageIO

Tillgängligt för macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15.2

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-3826: Samuel Groß på Google Project Zero

CVE-2020-3870

CVE-2020-3878: Samuel Groß på Google Project Zero

CVE-2020-3880: Samuel Groß på Google Project Zero

Uppdaterades 4 april 2020

Intel Graphics-drivrutin

Tillgängligt för macOS Mojave 10.14.6 och macOS Catalina 10.15.2

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2020-3845: Zhuo Liang på Qihoo 360 Vulcan Team

IOAcceleratorFamily

Tillgängligt för macOS Catalina 10.15.2

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2020-3837: Brandon Azad på Google Project Zero

IOThunderboltFamily

Tillgängligt för macOS Catalina 10.15.2

Effekt: Ett program kan få högre behörighet

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2020-3851: Xiaolong Bai och Min (Spark) Zheng på Alibaba Inc. och Luyi Xing på Indiana University Bloomington

Lades till 4 april 2020

IPSec

Tillgängligt för macOS Catalina 10.15.2

Effekt: Om du laddar en skadlig racoon-konfigurationsfil kan det leda till opålitlig kodkörning

Beskrivning: Ett förskjutningsproblem fanns i hanteringen av racoon-konfigurationsfiler. Problemet åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-3840: @littlelailo

Kernel

Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2020-3875: Brandon Azad på Google Project Zero

Kernel

Tillgängligt för macOS Catalina 10.15.2

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.

CVE-2020-3872: Haakon Garseg Mørk på Cognite och Cim Stordal på Cognite

Kernel

Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2

Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2020-3853: Brandon Azad på Google Project Zero

Kernel

Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2

Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

Beskrivning: Ett problem med åtkomst åtgärdades genom förbättrad minneshantering.

CVE-2020-3836: Brandon Azad på Google Project Zero

Kernel

Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2020-3842: Ned Williamson i samarbete med Google Project Zero

CVE-2020-3871: Corellium

libxml2

Tillgängligt för macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15.2

Effekt: Bearbetning av uppsåtligt skapad XML kan leda till en oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad storleksvalidering.

CVE-2020-3846: Ranier Vilela

Uppdaterades 3 februari 2020

libxpc

Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2

Effekt: Bearbetning av en skadlig sträng kan leda till heap-fel

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-3856: Ian Beer på Google Project Zero

libxpc

Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2

Effekt: Ett program kan få högre behörighet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-3829: Ian Beer på Google Project Zero

PackageKit

Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2

Effekt: Ett skadligt program kan godtyckligt skriva över filer

Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2020-3830: Csaba Fitzl (@theevilbit)

Säkerhet

Tillgängligt för macOS Catalina 10.15.2

Effekt: Ett skadligt program kan bryta sig ut från sitt begränsade läge

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2020-3854: Jakob Rieck (@0xdead10cc) och Maximilian Blochberger på Security in Distributed Systems Group, Hamburgs universitet

Uppdaterades 3 februari 2020

sudo

Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2

Effekt: Vissa konfigurationer kan tillåta att lokala angripare kör opålitlig kod

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2019-18634: Apple

System

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Ett skadligt program kan godtyckligt skriva över filer

Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare åtkomstbegränsningar.

CVE-2020-3855: Csaba Fitzl (@theevilbit)

Wifi

Tillgängligt för macOS Catalina 10.15.2

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2020-3839: s0ngsari på Theori och Lee på Seoul National University i samarbete med Trend Micros Zero Day Initiative

Wifi

Tillgängligt för macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15.2

Effekt: En fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-3843: Ian Beer på Google Project Zero

Uppdaterades 13 maj 2020

wifivelocityd

Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Problemet har åtgärdats genom förbättrad behörighetslogik.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Ytterligare tack

Lagringsutrymme för bilder

Vi vill tacka Allison Husain på UC Berkeley för hjälpen.

Uppdaterades 19 mars 2020

SharedFileList

Vi vill tacka Patrick Wardle på Jamf för hjälpen.

Lades till 4 april 2020

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: