Om säkerhetsinnehållet i macOS Catalina 10.15.6, säkerhetsuppdatering 2020-004 Mojave och säkerhetsuppdatering 2020-004 High Sierra

I det här dokumentet beskrivs säkerhetsinnehållet i macOS Catalina 10.15.6, säkerhetsuppdatering 2020-004 Mojave och säkerhetsuppdatering 2020-004 High Sierra.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

macOS Catalina 10.15.6, säkerhetsuppdatering 2020-004 Mojave, säkerhetsuppdatering 2020-004 High Sierra

Släpptes 15 juli 2020

AMD

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-9927: Lilang Wu i samarbete med TrendMicro Zero Day Initiative

Uppdaterades 5 augusti 2020

Ljud

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9884: Yu Zhou(@yuzhou6666) på 小鸡帮 i samarbete med Trend Micro Zero Day Initiative

CVE-2020-9889: Anonym i samarbete med Trend Micros Zero Day Initiative, JunDong Xie och XingWei Li på Ant-Financial Light-Year Security Lab

Uppdaterades 5 augusti 2020

Ljud

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9888: JunDong Xie och XingWei Li på Ant-Financial Light-Year Security Lab

CVE-2020-9890: JunDong Xie och XingWei Li på Ant-Financial Light-Year Security Lab

CVE-2020-9891: JunDong Xie och XingWei Li på Ant-Financial Light-Year Security Lab

Uppdaterades 5 augusti 2020

Bluetooth

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2020-9928: Yu Wang på Didi Research America

Lades till 5 augusti 2020

Bluetooth

Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Effekt: En lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2020-9929: Yu Wang på Didi Research America

Lades till 5 augusti 2020

Clang

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Clang kan generera maskinkod som inte upprätthåller autentiseringskoder för pekare korrekt

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2020-9870: Samuel Groß på Google Project Zero

CoreAudio

Tillgängligt för: macOS High Sierra 10.13.6

Effekt: Ett buffertspill kan leda till körning av opålitlig kod

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2020-9866: Yu Zhou på 小鸡帮 och Jundong Xie på Ant-Financial Light-Year Security Lab

Core Bluetooth

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En fjärrangripare kan orsaka ett oväntat programavslut

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2020-9869: Patrick Wardle på Jamf

Lades till 5 augusti 2020

CoreCapture

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2020-9949: Proteas

Lades till 12 november 2020

CoreFoundation

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En lokal användare kunde visa känslig användarinformation

Beskrivning: Ett problem förekom i hanteringen av miljövariabler. Problemet har åtgärdats genom förbättrad validering.

CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)

Uppdaterades 5 augusti 2020

CoreGraphics

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2020-9883: en anonym forskare, Mickey Jin på Trend Micro

Lades till 24 juli 2020, uppdaterades 12 november 2020

Crash Reporter

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Ett skadligt program kan bryta sig ut från sin sandlåda

Beskrivning: Ett minnesfel åtgärdades genom borttagning av den sårbara koden.

CVE-2020-9865: Zhuo Liang på Qihoo 360 Vulcan Team i samarbete med 360 BugCloud

Crash Reporter

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En lokal angripare kan höja sin behörighet

Beskrivning: Det förekom ett problem med logiken för validering av sökvägar för symboliska länkar. Problemet åtgärdades genom förbättrad sökvägssanering.

CVE-2020-9900: Zhongcheng Li (CK01) från Zero-dayits-teamet på Legendsec vid Qi’anxin-gruppen

Lades till 5 augusti 2020

FontParser

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9980: Xingwei Lin på Ant Security Light-Year Lab

Lades till 21 september 2020, uppdaterades 19 oktober 2020

Grafikdrivrutiner

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9799: ABC Research s.r.o.

Uppdaterades 24 juli 2020

Heimdal

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En lokal användare kan läcka känslig användarinformation

Beskrivning: Problemet åtgärdades genom att förbättra dataskyddet.

CVE-2020-9913: Cody Thomas på SpecterOps

ImageIO

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-27933: Xingwei Lin på Ant-Financial Light-Year Security Lab

Lades till 16 mars 2021

ImageIO

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: Flera problem med buffertspill förekom i openEXR

Beskrivning: Flera problem i openEXR åtgärdades med förbättrade kontroller.

CVE-2020-11758: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-11759: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-11760: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-11761: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-11762: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-11763: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-11764: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-11765: Xingwei Lin på Ant-Financial Light-Year Security Lab

Lades till 8 september 2020

ImageIO

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9871: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-9872: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-9874: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-9879: Xingwei Lin på Ant-financial Light-Year Security Lab

CVE-2020-9936: Mickey Jin på Trend Micro

CVE-2020-9937: Xingwei Lin på Ant-financial Light-Year Security Lab

Uppdaterades 5 augusti 2020

ImageIO

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2020-9919: Mickey Jin på Trend Micro

Lades till 24 juli 2020

ImageIO

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: Öppnande av en uppsåtligt skadlig PDF-fil kan leda till att appen oväntat avslutas eller att opålitlig kod körs

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9876: Mickey Jin på Trend Micro

Lades till 24 juli 2020

ImageIO

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-9873: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin på Ant-Financial Light-Year Security Lab

Lades till 24 juli 2020

ImageIO

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9877: Xingwei Lin på Ant-Financial Light-Year Security Lab

Lades till 5 augusti 2020

ImageIO

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2020-9875: Mickey Jin på Trend Micro

Lades till 5 augusti 2020

ImageIO

Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-9873: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin på Ant-Financial Light-Year Security Lab

CVE-2020-9984: en anonym forskare

Lades till 21 september 2020

Bildbearbetning

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: Visning av en skadlig JPEG-fil kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-9887: Mickey Jin på Trend Micro

Lades till 8 september 2020

Intel Graphics-drivrutin

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: En lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-9908: Junzhi Lu(@pwn0rz) i samarbete med Trend Micros Zero Day Initiative

Lades till 24 juli 2020, uppdaterades 31 augusti 2020

Intel Graphics-drivrutin

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2020-9990: ABC Research s.r.l. i samarbete med Trend Micro Zero Day Initiative, ABC Research s.r.o. i samarbete med Trend Micro Zero Day Initiative

Lades till 21 september 2020

Intel Graphics-drivrutin

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2020-9921: ABC Research s.r.o. i samarbete med Trend Micros Zero Day Initiative

Lades till 5 augusti 2020

Kernel

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En angripare i en behörig nätverksposition kan införas i anslutningar inom en VPN-tunnel

Beskrivning: Ett dirigeringsproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2019-14899: William J. Tolley, Beau Kujath och Jedidiah R. Crandall

Kernel

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-9904: Tielei Wang på Pangu Lab

Lades till 24 juli 2020

Kernel

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-9924: Matt DeVore på Google

Lades till 24 juli 2020

Kernel

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

Beskrivning: Flera minnesfel åtgärdades med förbättrad tillståndshantering.

CVE-2020-9892: Andy Nguyen på Google

Lades till 24 juli 2020

Kernel

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.

CVE-2020-9863: Xinru Chi på Pangu Lab

Uppdaterades 5 augusti 2020

Kernel

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9902: Xinru Chi och Tielei Wang på Pangu Lab

Lades till 5 augusti 2020

Kernel

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2020-9905: Raz Mashat (@RazMashat) på ZecOps

Lades till 5 augusti 2020

Kernel

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Ett skadligt program kan leda till att begränsat minne avslöjas

Beskrivning: Ett problem med att information avslöjades åtgärdades genom förbättrad tillståndshantering.

CVE-2020-9997: Catalin Valeriu Lita på SecurityScorecard

Lades till 21 september 2020

libxml2

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Bearbetning av uppsåtligt skapad XML kan leda till en oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2020-9926: hittad av OSS-Fuzz

Lades till 16 mars 2021

libxpc

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: Ett skadligt program kan godtyckligt skriva över filer

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2020-9994: Apple

Lades till 21 september 2020

Inloggningsfönstret

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En användare kan oväntat loggas in på en annan användares konto

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-9935: en anonym forskare

Lades till 21 september 2020

Mail

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2019-19906

Lades till 24 juli 2020, uppdaterades 8 september 2020

Mail

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En skadlig e-postserver kan skriva över godtyckligt valda e-postfiler

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2020-9920: YongYue Wang AKA BigChan på Hillstone Networks AF Team

Lades till 24 juli 2020

Mail

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: Bearbetning av ett skadligt e-postmeddelande kan leda till skrivning av opålitliga filer

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-9922: Mikko Kenttälä (@Turmio_) på SensorFu

Lades till 12 november 2020

Meddelanden

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En användare som togs bort från en iMessage-grupp kunde gå med i gruppen igen

Beskrivning: Ett problem förekom i hanteringen av iMessage-tapbacks. Problemet åtgärdades med ytterligare verifiering.

CVE-2020-9885: en anonym forskare, Suryansh Mansharamani, på WWP High School North (medium.com/@suryanshmansha)

Model I/O

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Bearbetning av en skadlig USD-fil kan leda till oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2020-9878: Holger Fuhrmannek på Deutsche Telekom Security

Model I/O

Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Effekt: Bearbetning av en skadlig USD-fil kan leda till oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2020-9880: Holger Fuhrmannek på Deutsche Telekom Security

Lades till 24 juli 2020, uppdaterades 21 september 2020

Model I/O

Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Effekt: Bearbetning av en skadlig USD-fil kan leda till oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2020-9878: Aleksandar Nikolic på Cisco Talos, Holger Fuhrmannek på Deutsche Telekom Security

CVE-2020-9881: Holger Fuhrmannek på Deutsche Telekom Security

CVE-2020-9882: Holger Fuhrmannek på Deutsche Telekom Security

CVE-2020-9940: Holger Fuhrmannek på Deutsche Telekom Security

CVE-2020-9985: Holger Fuhrmannek på Deutsche Telekom Security

Lades till 24 juli 2020, uppdaterades 21 september 2020

OpenLDAP

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2020-12243

Lades till 21 september 2020

Perl

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Ett heltalsspill i PCRE (Perl regular expression compiler) kan göra det möjligt för en fjärrangripare att lägga in instruktioner i kompilerade versioner av reguljära uttryck

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2020-10878: Hugo van der Sanden och Slaven Rezic

Lades till 16 mars 2021

Perl

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En fjärrangripare kan orsaka körning av opålitlig kod

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2020-12723: Sergey Aleynikov

Lades till 16 mars 2021

rsync

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: En fjärrangripare kan skriva över befintliga filer

Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2014-9512: gaojianfeng

Lades till 24 juli 2020

Sandlåda

Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5

Effekt: En lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-9930: Zhiyi Zhang från Codesafe-teamet på Legendsec från Qi'anxin Group

Lades till 15 december 2020

Sandlåda

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En lokal användare kan läsa in osignerade kerneltillägg

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2020-9939: @jinmo123, @setuid0x0_ och @insu_yun_en på @SSLab_Gatech i samarbete med Trend Micros Zero Day Initiative

Lades till 5 augusti 2020

Säkerhet

Tillgängligt för: macOS Catalina 10.15.5

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2020-9864: Alexander Holodny

Säkerhet

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: En angripare kan utge sig för att tillhöra en betrodd webbplats med hjälp av delade nyckelmaterial för certifikat som läggs till av administratör

Beskrivning: Det fanns ett problem med valideringen av certifikat när certifikat tillagda av administratörer bearbetades. Problemet har åtgärdats genom förbättrad certifikatsvalidering.

CVE-2020-9868: Brian Wolff på Asana

Lades till 24 juli 2020

Säkerhet

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: Ett program kan få högre behörighet

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2020-9854: Ilias Morad (A2nkF)

Lades till 24 juli 2020

sysdiagnose

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En lokal angripare kan höja sin behörighet

Beskrivning: Det förekom ett problem med logiken för validering av sökvägar för symboliska länkar. Problemet åtgärdades genom förbättrad sökvägssanering.

CVE-2020-9901: Tim Michaud (@TimGMichaud) från Leviathan, Zhongcheng Li (CK01) från Zero-dayit-teamet Legendsec från Qi'anxin Group

Lades till 5 augusti 2020, uppdaterades 31 augusti 2020

Vim

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: En fjärrangripare kan orsaka körning av opålitlig kod

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2019-20807: Guilherme de Almeida Suckevicz

WebDAV

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: Problemet åtgärdades med förbättrade behörigheter.

CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)

Lades till 8 september 2020

Wifi

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-9918: Jianjun Dai på 360 Alpha Lab i samarbete med 360 BugCloud (bugcloud.360.cn)

Wifi

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-9899: Yu Wang på Didi Research America

Lades till 24 juli 2020

Wifi

Tillgängligt för: macOS Catalina 10.15.5

Effekt: En fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-9906: Ian Beer på Google Project Zero

Lades till 24 juli 2020

Ytterligare tack

CoreFoundation

Vi vill tacka Bobby Pelletier för hjälpen.

Lades till 8 september 2020

ImageIO

Vi vill tacka Xingwei Lin på Ant-Financial Light-Year Security Lab för hjälpen.

Lades till 21 september 2020

Siri

Vi vill tacka Yuval Ron, Amichai Shulman och Eli Biham på Technion – Israel Institute of Technology för hjälpen.

Lades till 5 augusti 2020

USB-ljud

Vi vill tacka Andy Davis på NCC Group för hjälpen.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: