Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
macOS Catalina 10.15.6, säkerhetsuppdatering 2020-004 Mojave, säkerhetsuppdatering 2020-004 High Sierra
Släpptes 15 juli 2020
AMD
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-9927: Lilang Wu i samarbete med TrendMicro Zero Day Initiative
Uppdaterades 5 augusti 2020
Audio
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-9884: Yu Zhou(@yuzhou6666) på 小鸡帮 i samarbete med Trend Micro Zero Day Initiative
CVE-2020-9889: Anonym i samarbete med Trend Micros Zero Day Initiative, JunDong Xie och XingWei Li på Ant-financial Light-Year Security Lab
Uppdaterades 5 augusti 2020
Audio
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-9888: JunDong Xie och XingWei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-9890: JunDong Xie och XingWei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-9891: JunDong Xie och XingWei Lin på Ant-Financial Light-Year Security Lab
Uppdaterades 5 augusti 2020
Bluetooth
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2020-9928: Yu Wang på Didi Research America
Lades till 5 augusti 2020
Bluetooth
Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Effekt: en lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses
Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-9929: Yu Wang på Didi Research America
Lades till 5 augusti 2020
Clang
Tillgängligt för: macOS Catalina 10.15.5
Effekt: Clang kan generera maskinkod som inte upprätthåller autentiseringskoder för pekare korrekt
Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2020-9870: Samuel Groß på Google Project Zero
CoreAudio
Tillgängligt för: macOS High Sierra 10.13.6
Effekt: ett buffertspill kan leda till körning av opålitlig kod
Beskrivning: ett buffertspill åtgärdades med förbättrad gränskontroll.
CVE-2020-9866: Yu Zhou på 小鸡帮 och Jundong Xie på Ant-Financial Light-Year Security Lab
Core Bluetooth
Tillgängligt för: macOS Catalina 10.15.5
Effekt: En fjärrangripare kan orsaka ett oväntat programavslut
Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-9869: Patrick Wardle på Jamf
Lades till 5 augusti 2020
CoreCapture
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2020-9949: Proteas
Lades till 12 november 2020
CoreFoundation
Tillgängligt för: macOS Catalina 10.15.5
Effekt: En lokal användare kunde visa känslig användarinformation
Beskrivning: Ett problem förekom i hanteringen av miljövariabler. Problemet har åtgärdats genom förbättrad validering.
CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)
Uppdaterades 5 augusti 2020
CoreGraphics
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2020-9883: en anonym forskare, Mickey Jin på Trend Micro
Lades till 24 juli 2020, uppdaterades 12 november 2020
Crash Reporter
Tillgängligt för: macOS Catalina 10.15.5
Effekt: Ett skadligt program kan bryta sig ut från sin sandlåda
Beskrivning: Ett minnesfel åtgärdades genom borttagning av den sårbara koden.
CVE-2020-9865: Zhuo Liang på Qihoo 360 Vulcan Team i samarbete med 360 BugCloud
Crash Reporter
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en lokal angripare kan höja sin behörighet
Beskrivning: Det förekom ett problem med logiken för validering av sökvägar för symboliska länkar. Problemet åtgärdades genom förbättrad sökvägssanering.
CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) från Zero-dayits-teamet på Legendsec från Qi'anxin Group
Lades till 5 augusti 2020, uppdaterades 17 december 2021
FontParser
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-9980: Xingwei Lin på Ant Security Light-Year Lab
Lades till 21 september 2020, uppdaterades 19 oktober 2020
Graphics Drivers
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en skadlig app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-9799: ABC Research s.r.o.
Uppdaterades 24 juli 2020
Heimdal
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en lokal användare kan läcka känslig användarinformation
Beskrivning: problemet åtgärdades genom att förbättra dataskyddet.
CVE-2020-9913: Cody Thomas på SpecterOps
ImageIO
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-27933: Xingwei Lin på Ant-Financial Light-Year Security Lab
Lades till 16 mars 2021
ImageIO
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: flera problem med buffertspill förekom i openEXR
Beskrivning: flera problem i openEXR åtgärdades med förbättrade kontroller.
CVE-2020-11758: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-11759: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-11760: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-11761: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-11762: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-11763: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-11764: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-11765: Xingwei Lin på Ant-Financial Light-Year Security Lab
Lades till 8 september 2020
ImageIO
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-9871: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-9872: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-9874: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-9879: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-9936: Mickey Jin på Trend Micro
CVE-2020-9937: Xingwei Lin på Ant-Financial Light-Year Security Lab
Uppdaterades 5 augusti 2020
ImageIO
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2020-9919: Mickey Jin på Trend Micro
Lades till 24 juli 2020
ImageIO
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: Öppnande av en uppsåtligt skadlig PDF-fil kan leda till att appen oväntat avslutas eller att opålitlig kod körs
Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-9876: Mickey Jin på Trend Micro
Lades till 24 juli 2020
ImageIO
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-9873: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin på Ant-Financial Light-Year Security Lab
Lades till 24 juli 2020
ImageIO
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-9877: Xingwei Lin på Ant-Financial Light-Year Security Lab
Lades till 5 augusti 2020
ImageIO
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2020-9875: Mickey Jin på Trend Micro
Lades till 5 augusti 2020
ImageIO
Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-9873: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-9984: en anonym forskare
Lades till 21 september 2020
Image Processing
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: visning av en skadlig JPEG-fil kan leda till körning av opålitlig kod
Beskrivning: ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-9887: Mickey Jin på Trend Micro
Lades till 8 september 2020
Intel Graphics Driver
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses
Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-9908: Junzhi Lu(@pwn0rz) i samarbete med Trend Micros Zero Day Initiative
Lades till 24 juli 2020, uppdaterades 31 augusti 2020
Intel Graphics Driver
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en skadlig app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett konkurrenstillstånd åtgärdades genom ytterligare validering.
CVE-2020-9990: ABC Research s.r.l. i samarbete med Trend Micro Zero Day Initiative, ABC Research s.r.o. i samarbete med Trend Micro Zero Day Initiative
Lades till 21 september 2020
Intel Graphics Driver
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-9921: ABC Research s.r.o. i samarbete med Trend Micros Zero Day Initiative
Lades till 5 augusti 2020
Kernel
Tillgängligt för: macOS Catalina 10.15.5
Effekt: En angripare i en behörig nätverksposition kan införas i anslutningar inom en VPN-tunnel
Beskrivning: Ett dirigeringsproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2019-14899: William J. Tolley, Beau Kujath och Jedidiah R. Crandall
Kernel
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2020-9904: Tielei Wang på Pangu Lab
Lades till 24 juli 2020
Kernel
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2020-9924: Matt DeVore på Google
Lades till 24 juli 2020
Kernel
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: flera minnesfel åtgärdades med förbättrad tillståndshantering.
CVE-2020-9892: Andy Nguyen på Google
Lades till 24 juli 2020
Kernel
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2020-9863: Xinru Chi på Pangu Lab
Uppdaterades 5 augusti 2020
Kernel
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: ett program med skadligt innehåll kan ta reda på schemat för kernelminnet
Beskrivning: ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-9902: Xinru Chi och Tielei Wang på Pangu Lab
Lades till 5 augusti 2020
Kernel
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: ett buffertspill åtgärdades med förbättrad gränskontroll.
CVE-2020-9905: Raz Mashat (@RazMashat) på ZecOps
Lades till 5 augusti 2020
Kernel
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en skadlig app kan leda till att begränsat minne avslöjas
Beskrivning: ett problem med att information avslöjades åtgärdades genom förbättrad tillståndshantering.
CVE-2020-9997: Catalin Valeriu Lita på SecurityScorecard
Lades till 21 september 2020
libxml2
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av uppsåtligt skapad XML kan leda till en oväntad programavslutning eller körning av opålitlig kod
Beskrivning: ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2020-9926: hittad av OSS-Fuzz
Lades till 16 mars 2021
libxpc
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Effekt: ett skadligt program kan godtyckligt skriva över filer
Beskrivning: ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.
CVE-2020-9994: Apple
Lades till 21 september 2020
Login Window
Tillgängligt för: macOS Catalina 10.15.5
Effekt: En användare kan oväntat loggas in på en annan användares konto
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2020-9935: en anonym forskare
Lades till 21 september 2020
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2019-19906
Lades till 24 juli 2020, uppdaterades 8 september 2020
Tillgängligt för: macOS Catalina 10.15.5
Effekt: En skadlig e-postserver kan skriva över godtyckligt valda e-postfiler
Beskrivning: ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.
CVE-2020-9920: YongYue Wang AKA BigChan på Hillstone Networks AF Team
Lades till 24 juli 2020
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: bearbetning av ett skadligt e-postmeddelande kan leda till skrivning av opålitliga filer
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2020-9922: Mikko Kenttälä (@Turmio_) på SensorFu
Lades till 12 november 2020
Messages
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en användare som togs bort från en iMessage-grupp kunde gå med i gruppen igen
Beskrivning: Ett problem förekom i hanteringen av iMessage-tapbacks. Problemet åtgärdades med ytterligare verifiering.
CVE-2020-9885: en anonym forskare, Suryansh Mansharamani, på WWP High School North (medium.com/@suryanshmansha)
Model I/O
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av en USD-fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2020-9878: Holger Fuhrmannek på Deutsche Telekom Security
Model I/O
Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Effekt: Bearbetning av en USD-fil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: ett buffertspill åtgärdades med förbättrad gränskontroll.
CVE-2020-9880: Holger Fuhrmannek på Deutsche Telekom Security
Lades till 24 juli 2020, uppdaterades 21 september 2020
Model I/O
Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Effekt: bearbetning av en USD-fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2020-9878: Aleksandar Nikolic på Cisco Talos, Holger Fuhrmannek på Deutsche Telekom Security
CVE-2020-9881: Holger Fuhrmannek på Deutsche Telekom Security
CVE-2020-9882: Holger Fuhrmannek på Deutsche Telekom Security
CVE-2020-9940: Holger Fuhrmannek på Deutsche Telekom Security
CVE-2020-9985: Holger Fuhrmannek på Deutsche Telekom Security
Lades till 24 juli 2020, uppdaterades 21 september 2020
OpenLDAP
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2020-12243
Lades till 21 september 2020
Perl
Tillgängligt för: macOS Catalina 10.15.5
Effekt: Ett heltalsspill i PCRE (Perl regular expression compiler) kan göra det möjligt för en fjärrangripare att lägga in instruktioner i kompilerade versioner av reguljära uttryck
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2020-10878: Hugo van der Sanden och Slaven Rezic
Lades till 16 mars 2021
Perl
Tillgängligt för: macOS Catalina 10.15.5
Effekt: En fjärrangripare kan orsaka körning av opålitlig kod
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2020-12723: Sergey Aleynikov
Lades till 16 mars 2021
rsync
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Effekt: en fjärrangripare kan skriva över befintliga filer
Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.
CVE-2014-9512: gaojianfeng
Lades till 24 juli 2020
Sandbox
Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Effekt: en lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses
Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-9930: Zhiyi Zhang från Codesafe-teamet på Legendsec från Qi'anxin Group
Lades till 15 december 2020
Sandbox
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en lokal användare kan läsa in osignerade kerneltillägg
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2020-9939: @jinmo123, @setuid0x0_ och @insu_yun_en på @SSLab_Gatech i samarbete med Trend Micros Zero Day Initiative
Lades till 5 augusti 2020
Security
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2020-9864: Alexander Holodny
Security
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: En angripare kan utge sig för att tillhöra en betrodd webbplats med hjälp av delade nyckelmaterial för certifikat som läggs till av administratör
Beskrivning: Det fanns ett problem med valideringen av certifikat när certifikat tillagda av administratörer bearbetades. Problemet har åtgärdats genom förbättrad certifikatsvalidering.
CVE-2020-9868: Brian Wolff på Asana
Lades till 24 juli 2020
Security
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Effekt: en app kan få högre behörighet
Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2020-9854: Ilias Morad (A2nkF)
Lades till 24 juli 2020
sysdiagnose
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en lokal angripare kan höja sin behörighet
Beskrivning: Det förekom ett problem med logiken för validering av sökvägar för symboliska länkar. Problemet åtgärdades genom förbättrad sökvägssanering.
CVE-2020-9901: Tim Michaud (@TimGMichaud) från Leviathan, Zhongcheng Li (CK01) från Zero-dayit-teamet Legendsec från Qi'anxin Group
Lades till 5 augusti 2020, uppdaterades 31 augusti 2020
Vim
Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Effekt: en fjärrangripare kan orsaka körning av opålitlig kod
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2019-20807: Guilherme de Almeida Suckevicz
WebDAV
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en process i sandlådeläge kan kringgå sandlådebegränsningarna
Beskrivning: problemet åtgärdades med förbättrade behörigheter.
CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)
Lades till 8 september 2020
Wi-Fi
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt
Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-9918: Jianjun Dai på 360 Alpha Lab i samarbete med 360 BugCloud (bugcloud.360.cn)
Wi-Fi
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-9899: Yu Wang på Didi Research America
Lades till 24 juli 2020
Wi-Fi
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt
Beskrivning: ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-9906: Ian Beer på Google Project Zero
Lades till 24 juli 2020
Ytterligare tack
CoreFoundation
Vi vill tacka Bobby Pelletier för hjälpen.
Lades till 8 september 2020
ImageIO
Vi vill tacka Xingwei Lin på Ant-Financial Light-Year Security Lab för hjälpen.
Lades till 21 september 2020
Siri
Vi vill tacka Yuval Ron, Amichai Shulman och Eli Biham på Technion – Israel Institute of Technology för hjälpen.
Lades till 5 augusti 2020
USB Audio
Vi vill tacka Andy Davis på NCC Group för hjälpen.