Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
macOS Catalina 10.15.4, säkerhetsuppdatering 2020-002 Mojave, säkerhetsuppdatering 2020-002 High Sierra
Släpptes 24 mars 2020
Konton
Tillgängligt för: macOS Catalina 10.15.3
Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2020-9772: Allison Husain på UC Berkeley
Lades till 21 maj 2020
Apple HSSPI-support
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-3903: Proteas på Qihoo 360 Nirvan Team
Uppdaterades 1 maj 2020
AppleGraphicsControl
Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Flera minnesfel åtgärdades med förbättrad tillståndshantering.
CVE-2020-3904: Proteas på Qihoo 360 Nirvan Team
AppleMobileFileIntegrity
Tillgängligt för: macOS Catalina 10.15.3
Effekt: Ett program kan använda opålitliga behörigheter
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2020-3883: Linus Henze (pinauten.de)
Bluetooth
Tillgängligt för: macOS Catalina 10.15.3
Effekt: En angripare i behörig nätverksposition kan manipulera Bluetooth-trafik
Beskrivning: Det fanns ett problem med användningen av en pseudoslumptalsgenerator med låg entropi. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-2020-6616: Jörn Tillmanns (@matedealer) och Jiska Classen (@naehrdine) på Secure Mobile Networking Lab
Lades till 21 maj 2020
Bluetooth
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2020-9853: Yu Wang på Didi Research America
Lades till 21 maj 2020
Bluetooth
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Effekt: En lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-3907: Yu Wang på Didi Research America
CVE-2020-3908: Yu Wang på Didi Research America
CVE-2020-3912: Yu Wang på Didi Research America
CVE-2020-9779: Yu Wang på Didi Research America
Uppdaterades 21 september 2020
Bluetooth
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-3892: Yu Wang på Didi Research America
CVE-2020-3893: Yu Wang på Didi Research America
CVE-2020-3905: Yu Wang på Didi Research America
Bluetooth
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2019-8853: Jianjun Dai på Qihoo 360 Alpha Lab
Samtalshistorik
Tillgängligt för: macOS Catalina 10.15.3
Effekt: Ett skadligt program kan få åtkomst till en användares samtalshistorik
Beskrivning: Problemet hanterades med en ny behörighet.
CVE-2020-9776: Benjamin Randazzo (@____benjamin)
CoreBluetooth
Tillgängligt för: macOS Catalina 10.15.3
Effekt: En fjärrangripare kan läcka känslig användarinformation
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-9828: Jianjun Dai på Qihoo 360 Alpha Lab
Lades till 13 maj 2020
CoreFoundation
Tillgängligt för: macOS Catalina 10.15.3
Effekt: Ett skadligt program kan öka behörigheter
Beskrivning: Ett behörighetsproblem förekom. Problemet har åtgärdats genom förbättrad behörighetsvalidering.
CVE-2020-3913: Timo Christ på Avira Operations GmbH & Co. KG
CoreText
Tillgängligt för: macOS Catalina 10.15.3
Effekt: Bearbetning av ett skadligt textmeddelande kan leda till att åtkomsten till tjänsten begränsas
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2020-9829: Aaron Perris (@aaronp613), en anonym forskare, en anonym forskare, Carlos S Tech, Sam Menzies på Sam’s Lounge, Sufiyan Gouri på Lovely Professional University i Indien, Suleman Hasan Rathor på Arabic-Classroom.com
Lades till 21 maj 2020
CUPS
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Effekt: Ett program kan få högre behörighet
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2020-3898: Stephan Zeisberg (github.com/stze) på Security Research Labs (srlabs.de)
Lades till 8 april 2020
FaceTime
Tillgängligt för: macOS Catalina 10.15.3
Effekt: En lokal användare kunde visa känslig användarinformation
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2020-3881: Yuval Ron, Amichai Shulman och Eli Biham på Technion – Israel Institute of Technology
Intel Graphics-drivrutin
Tillgängligt för: macOS Catalina 10.15.3
Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2020-3886: Proteas
Lades till 16 mars 2021
Intel Graphics-drivrutin
Tillgängligt för: macOS Catalina 10.15.3
Effekt: Ett skadligt program kan leda till att begränsat minne avslöjas
Beskrivning: Ett problem med att information avslöjades åtgärdades genom förbättrad tillståndshantering.
CVE-2019-14615: Wenjian HE på Hong Kong University of Science and Technology, Wei Zhang på Hong Kong University of Science and Technology, Sharad Sinha på Indian Institute of Technology Goa samt Sanjeev Das på University of North Carolina
IOHIDFamily
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2020-3919: Alex Plaskett på F-Secure Consulting
Uppdaterades 21 maj 2020
IOThunderboltFamily
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Effekt: Ett program kan få högre behörighet
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2020-3851: Xiaolong Bai och Min (Spark) Zheng på Alibaba Inc. och Luyi Xing på Indiana University Bloomington
iTunes
Tillgängligt för: macOS Catalina 10.15.3
Effekt: Ett skadligt program kan godtyckligt skriva över filer
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2020-3896: Christoph Falta
Lades till 16 mars 2021
Kernel
Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2020-3914: pattern-f (@pattern_F_) på WaCai
Kernel
Tillgängligt för: macOS Catalina 10.15.3
Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Flera minnesfel åtgärdades med förbättrad tillståndshantering.
CVE-2020-9785: Proteas på Qihoo 360 Nirvan Team
libxml2
Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Effekt: Flera problem i libxml2
Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.
CVE-2020-3909: LGTM.com
CVE-2020-3911: hittad av OSS-Fuzz
libxml2
Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Effekt: Flera problem i libxml2
Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad storleksvalidering.
CVE-2020-3910: LGTM.com
Tillgängligt för: macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Effekt: En fjärrangripare kan orsaka körning av opålitlig javascript-kod
Beskrivning: Ett problem med inmatning åtgärdades genom förbättrad validering.
CVE-2020-3884: Apple
Utskrift
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Effekt: Ett skadligt program kan godtyckligt skriva över filer
Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.
CVE-2020-3915: En anonym forskare i samarbete med iDefense Labs (https://vcp.idefense.com/), HyungSeok Han (DaramG) @Theori i samarbete med TrendMicros Zero Day Initiative
Lades till 1 maj 2020
Safari
Tillgängligt för: macOS Catalina 10.15.3
Effekt: En användares privata surfningsaktivitet kan oväntat sparas i Skärmtid
Beskrivning: Ett problem fanns i hanteringen av flikar som visar bild-i-bild-video. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-2020-9775: Andrian (@retroplasma), Marat Turaev, Marek Wawro (futurefinance.com) och Sambor Wawro på STO64 School Krakow Poland
Lades till 13 maj 2020
Sandlåda
Tillgängligt för: macOS Catalina 10.15.3
Effekt: En användare kan få tillgång till skyddade delar av filsystemet
Beskrivning: Problemet hanterades med en ny behörighet.
CVE-2020-9771: Csaba Fitzl (@theevilbit) på Offensive Security
Lades till 21 maj 2020
Sandlåda
Tillgängligt för: macOS Catalina 10.15.3
Effekt: En lokal användare kunde visa känslig användarinformation
Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.
CVE-2020-3918: en anonym forskare, Augusto Alvarez på Outcourse Limited
Lades till 8 april 2020, uppdaterades 21 maj 2020
sudo
Tillgängligt för: macOS Catalina 10.15.3
Effekt: En angripare kan köra kommandon som en icke-existerande användare
Beskrivning: Problemet åtgärdades med hjälp av en uppdatering till sudo version 1.8.31.
CVE-2019-19232
sysdiagnose
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Effekt: Ett program kan utlösa en sysdiagnose
Beskrivning: Problemet åtgärdades med förbättrade kontroller
CVE-2020-9786: Dayton Pidhirney (@_watbulb) på Seekintoo (@seekintoo)
Lades till 4 april 2020
TCC
Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.3
Effekt: Ett skadligt utformat program kan kringgå en tvingad kodsignering
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2020-3906: Patrick Wardle på Jamf
Time Machine
Tillgängligt för: macOS Catalina 10.15.3
Effekt: En lokal användare kan läsa opålitliga filer
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2020-3889: Lasse Trolle Borup på Danish Cyber Defence
Vim
Tillgängligt för: macOS Catalina 10.15.3
Effekt: Flera problem i Vim
Beskrivning: Flera problem åtgärdades med hjälp av en uppdatering till version 8.1.1850.
CVE-2020-9769: Steve Hahn från LinkedIn
WebKit
Tillgängligt för: macOS Catalina 10.15.3
Effekt: Vissa webbplatser kanske inte har visats i Safari-inställningarna
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2020-9787: Ryan Pickren (ryanpickren.com)
Lades till 8 april 2020
WebKit
Tillgängligt för: macOS Catalina 10.15.3
Effekt: Bearbetning av skadligt webbinnehåll kan leda till en attack med skriptkörning över flera sajter
Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)
Lades till 28 juli 2020
Ytterligare tack
CoreText
Vi vill tacka en anonym forskare för hjälpen.
FireWire Audio
Vi vill tacka Xiaolong Bai och Min (Spark) Zheng på Alibaba Inc. och Luyi Xing på Indiana University Bloomington för deras hjälp.
FontParser
Vi vill tacka Matthew Denton på Google Chrome för hjälpen.
Installeraren
Vi vill tacka Pris Sears på Virginia Tech, Tom Lynch på UAL Creative Computing Institute och en anonym forskare för deras hjälp.
Lades till 15 december 2020
Äldre Install Framework
Vi vill tacka Pris Sears på Virginia Tech, Tom Lynch på UAL Creative Computing Institute och en anonym forskare för deras hjälp.
LinkPresentation
Vi vill tacka Travis för hjälpen.
OpenSSH
Vi vill tacka en anonym forskare för hjälpen.
rapportd
Vi vill tacka Alexander Heinrich (@Sn0wfreeze) på Technische Universität Darmstadt för hjälpen.
Sidecar
Vi vill tacka Rick Backley (@rback_sec) för hjälpen.
sudo
Vi vill tacka Giorgio Oppo (linkedin.com/in/giorgio-oppo/) för hjälpen.
Lades till 4 april 2020