Om säkerhetsinnehållet i macOS Catalina 10.15.3, säkerhetsuppdatering 2020-001 Mojave och säkerhetsuppdatering 2020-001 High Sierra
I det här dokumentet beskrivs säkerhetsinnehållet i macOS Catalina 10.15.3, säkerhetsuppdatering 2020-001 Mojave och säkerhetsuppdatering 2020-001 High Sierra.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
macOS Catalina 10.15.3, säkerhetsuppdatering 2020-001 Mojave, säkerhetsuppdatering 2020-001 High Sierra
AnnotationKit
Tillgängligt för macOS Catalina 10.15.2
Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-3877: en anonym forskare i samarbete med Trend Micros Zero Day Initiative
apache_mod_php
Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2
Effekt: Flera problem i PHP
Beskrivning: Flera problem åtgärdades genom att uppdatera till PHP-version 7.3.11.
CVE-2019-11043
Ljud
Tillgängligt för macOS Catalina 10.15.2
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-3857: Zhuo Liang på Qihoo 360 Vulcan Team
autofs
Tillgängligt för macOS Catalina 10.15.2
Effekt: Att söka efter och öppna en fil från en NFS-montering som kontrolleras av en angripare kunde kringgå Gatekeeper
Beskrivning: Detta åtgärdades genom ytterligare Gatekeeper-kontroller av filer som monterats genom en nätverksresurs.
CVE-2020-3866: Jose Castro Almeida (@HackerOn2Wheels) och René Kroka (@rene_kroka)
CoreBluetooth
Tillgängligt för macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15.2
Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-3848: Jianjun Dai på Qihoo 360 Alpha Lab
CVE-2020-3849: Jianjun Dai på Qihoo 360 Alpha Lab
CVE-2020-3850: Jianjun Dai på Qihoo 360 Alpha Lab
CoreBluetooth
Tillgängligt för macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15.2
Effekt: En fjärrangripare kan läcka minne
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-3847: Jianjun Dai på Qihoo 360 Alpha Lab
Crash Reporter
Tillgängligt för macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15.2
Effekt: Ett skadligt program kan få tillgång till begränsade filer
Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.
CVE-2020-3835: Csaba Fitzl (@theevilbit)
crontab
Tillgängligt för macOS Catalina 10.15.2
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-3863: James Hutchins
Hittat i appar
Tillgängligt för macOS Catalina 10.15.2
Effekt: Obehörig åtkomst till krypterade data
Beskrivning: Ett problem förekom där Siri-förslag hade åtkomst till krypterade data. Problemet åtgärdades genom att begränsa åtkomst till krypterade data.
CVE-2020-9774: Bob Gendler på National Institute of Standards and Technology
Bildbearbetning
Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2
Effekt: Visning av en skadlig JPEG-fil kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-3827: Samuel Groß på Google Project Zero
ImageIO
Tillgängligt för macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15.2
Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-3826: Samuel Groß på Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß på Google Project Zero
CVE-2020-3880: Samuel Groß på Google Project Zero
Intel Graphics-drivrutin
Tillgängligt för macOS Mojave 10.14.6 och macOS Catalina 10.15.2
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-3845: Zhuo Liang på Qihoo 360 Vulcan Team
IOAcceleratorFamily
Tillgängligt för macOS Catalina 10.15.2
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-3837: Brandon Azad på Google Project Zero
IOThunderboltFamily
Tillgängligt för macOS Catalina 10.15.2
Effekt: Ett program kan få högre behörighet
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2020-3851: Xiaolong Bai och Min (Spark) Zheng på Alibaba Inc. och Luyi Xing på Indiana University Bloomington
IPSec
Tillgängligt för macOS Catalina 10.15.2
Effekt: Om du laddar en skadlig racoon-konfigurationsfil kan det leda till opålitlig kodkörning
Beskrivning: Ett förskjutningsproblem fanns i hanteringen av racoon-konfigurationsfiler. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-3840: @littlelailo
Kernel
Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2020-3875: Brandon Azad på Google Project Zero
Kernel
Tillgängligt för macOS Catalina 10.15.2
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2020-3872: Haakon Garseg Mørk på Cognite och Cim Stordal på Cognite
Kernel
Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.
CVE-2020-3853: Brandon Azad på Google Project Zero
Kernel
Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2
Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
Beskrivning: Ett problem med åtkomst åtgärdades genom förbättrad minneshantering.
CVE-2020-3836: Brandon Azad på Google Project Zero
Kernel
Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-3842: Ned Williamson i samarbete med Google Project Zero
CVE-2020-3871: Corellium
libxml2
Tillgängligt för macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15.2
Effekt: Bearbetning av uppsåtligt skapad XML kan leda till en oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad storleksvalidering.
CVE-2020-3846: Ranier Vilela
libxpc
Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2
Effekt: Bearbetning av en skadlig sträng kan leda till heap-fel
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-3856: Ian Beer på Google Project Zero
libxpc
Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2
Effekt: Ett program kan få högre behörighet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-3829: Ian Beer på Google Project Zero
PackageKit
Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2
Effekt: Ett skadligt program kan godtyckligt skriva över filer
Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.
CVE-2020-3830: Csaba Fitzl (@theevilbit)
Säkerhet
Tillgängligt för macOS Catalina 10.15.2
Effekt: Ett skadligt program kan bryta sig ut från sitt begränsade läge
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2020-3854: Jakob Rieck (@0xdead10cc) och Maximilian Blochberger på Security in Distributed Systems Group, Hamburgs universitet
sudo
Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2
Effekt: Vissa konfigurationer kan tillåta att lokala angripare kör opålitlig kod
Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2019-18634: Apple
System
Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Effekt: Ett skadligt program kan godtyckligt skriva över filer
Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare åtkomstbegränsningar.
CVE-2020-3855: Csaba Fitzl (@theevilbit)
Wifi
Tillgängligt för macOS Catalina 10.15.2
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2020-3839: s0ngsari på Theori och Lee på Seoul National University i samarbete med Trend Micros Zero Day Initiative
Wifi
Tillgängligt för macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15.2
Effekt: En fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-3843: Ian Beer på Google Project Zero
wifivelocityd
Tillgängligt för macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15.2
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Problemet har åtgärdats genom förbättrad behörighetslogik.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Ytterligare tack
Lagringsutrymme för bilder
Vi vill tacka Allison Husain på UC Berkeley för hjälpen.
SharedFileList
Vi vill tacka Patrick Wardle på Jamf för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.