Om säkerhetsinnehållet i macOS Big Sur 11.0.1

Det här dokumentet beskriver säkerhetsinnehållet i macOS Big Sur 11.0.1.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

macOS Big Sur 11.0.1

Släpptes 12 november 2020

AMD

Tillgängligt för: Mac Pro (2013 och senare), MacBook Air (2013 och senare), MacBook Pro (sent 2013 och senare), Mac mini (2014 och senare), iMac (2014 och senare), MacBook (2015 och senare), iMac Pro (alla modeller)

Effekt: ett skadligt program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-27914: Yu Wang på Didi Research America

CVE-2020-27915: Yu Wang på Didi Research America

Lades till 14 december 2020

App Store

Effekt: En app kan få högre behörighet

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2020-27903: Zhipeng Huo (@R3dF09) på Tencent Security Xuanwu Lab

Audio

Effekt: bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-27910: JunDong Xie och XingWei Lin på Ant Security Light-Year Lab

Audio

Effekt: bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-27916: JunDong Xie på Ant Security Light-Year Lab

Audio

Effekt: En app med skadligt innehåll utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9943: JunDong Xie på Ant Group Light-Year Security Lab

Audio

Effekt: En app utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9944: JunDong Xie på Ant Group Light-Year Security Lab

Bluetooth

Effekt: En fjärrangripare kan orsaka ett oväntat programavslut eller heap-fel

Beskrivning: Flera heltalsspill åtgärdades med förbättrad indatavalidering.

CVE-2020-27906: Zuozhi Fan (@pattern_F_) på Ant Group Tianqiong Security Lab

CFNetwork Cache

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2020-27945: Zhuo Liang på Qihoo 360 Vulcan Team

Lades till 16 mars 2021

CoreAudio

Effekt: bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-27908: JunDong Xie och Xingwei Lin på Ant Security Light-Year Lab

CVE-2020-27909: Anonym i samarbete med Trend Micro Zero Day Initiative, JunDong Xie och Xingwei Lin på Ant Security Light-Year Lab

CVE-2020-9960: JunDong Xie och XingWei Lin på Ant Security Light-Year Lab

Lades till 14 december 2020

CoreAudio

Effekt: bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-10017: Francis arbetar med Trend Micro Zero Day Initiative, JunDong Xie på Ant Security Light-Year Lab

CoreCapture

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2020-9949: Proteas

CoreGraphics

Effekt: bearbetning av en PDF med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-9897: S.Y. på ZecOps Mobile XDR, en anonym forskare

Lades till 25 oktober 2021

CoreGraphics

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-9883: en anonym forskare, Mickey Jin på Trend Micro

Crash Reporter

Effekt: En lokal angripare kan höja sin behörighet

Beskrivning: Det förekom ett problem med logiken för validering av sökvägar för symboliska länkar. Problemet åtgärdades genom förbättrad sökvägssanering.

CVE-2020-10003: Tim Michaud (@TimGMichaud) på Leviathan

CoreText

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-27922: Mickey Jin på Trend Micro

Lades till 14 december 2020

CoreText

Effekt: Bearbetning av en textfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-9999: Apple

Uppdaterades 14 december 2020

Directory Utility

Effekt: En app med skadligt innehåll kan få tillgång till personlig information

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-27937: Wojciech Reguła (@_r3ggi) på SecuRing

Lades till 16 mars 2021

Disk Images

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Finder

Effekt: Användare kan eventuellt inte ta bort metadata som anger varifrån filerna har hämtats

Beskrivning: Problemet åtgärdades genom ytterligare användarkontroller.

CVE-2020-27894: Manuel Trezza på Shuggr (shuggr.com)

FontParser

Effekt: Bearbetning av typsnitt med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-36615: Peter Nguyen Hoang Vu (@peternguyen14) från STAR Labs

Lades till den 11 maj 2023

FontParser

Effekt: Bearbetning av en textfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-1790: Peter Nguyen Vu Hoang på STAR Labs

Lades till 25 maj 2022

FontParser

Effekt: Bearbetning av typsnitt med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2021-1775: Mickey Jin och Qi Sun på Trend Micro i samarbete med Trend Micros Zero Day Initiative

Lades till 25 oktober 2021

FontParser

Effekt: En app med skadligt innehåll utan rättigheter kan läsa det begränsade minnet

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-29629: En anonym forskare

Lades till 25 oktober 2021

FontParser

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-27942: En anonym forskare

Lades till 25 oktober 2021

FontParser

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad storleksvalidering.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Lades till 14 december 2020

FontParser

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-27952: En anonym forskare, Mickey Jin och Junzhi Lu på Trend Micro

Lades till 14 december 2020

FontParser

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-9956: Mickey Jin och Junzhi Lu på Trend Micro Mobile Security Research Team i samarbete med Trend Micros Zero Day Initiative

Lades till 14 december 2020

FontParser

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2020-27931: Apple

Lades till 14 december 2020

FontParser

Effekt: Bearbetning av typsnitt med skadligt innehåll kan leda till körning av opålitlig kod. Apple är medveten om rapporter som cirkulerar angående en existerande exploatör av detta problem.

Beskrivning: ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-27930: Google Project Zero

FontParser

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-27927: Xingwei Lin på Ant Security Light-Year Lab

FontParser

Effekt: Bearbetning av ett typsnitt med skadligt innehåll kan leda till att processminnet avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-29639: Mickey Jin och Qi Sun på Trend Micro i samarbete med Trend Micros Zero Day Initiative

Lades till 21 juli 2021

Foundation

Effekt: En lokal användare kan läsa opålitliga filer

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-10002: James Hutchins

HomeKit

Effekt: En angripare i en privilegierad nätverksposition kan oväntat ändra en applikations tillstånd

Beskrivning: Problemet åtgärdades genom att förbättra hur inställningen sparas.

CVE-2020-9978: Luyi Xing, Dongfang Zhao och Xiaofeng Wang på Indiana University Bloomington, Yan Jia på Xidian University och University of Chinese Academy of Sciences och Bin Yuan på HuaZhong University of Science and Technology

Lades till 14 december 2020

ImageIO

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9955: Mickey Jin på Trend Micro, Xingwei Lin på Ant Security Light-Year Lab

Lades till 14 december 2020

ImageIO

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-27924: Lei Sun

Lades till 14 december 2020

ImageIO

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-27912: Xingwei Lin på Ant Security Light-Year Lab

CVE-2020-27923: Lei Sun

Uppdaterades 14 december 2020

ImageIO

Effekt: Öppnande av en uppsåtligt skadlig PDF-fil kan leda till att appen oväntat avslutas eller att opålitlig kod körs

Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-9876: Mickey Jin på Trend Micro

Intel Graphics Driver

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-10015: ABC Research s.r.o. i samarbete med Trend Micro Zero Day Initiative

CVE-2020-27897: Xiaolong Bai och Min (Spark) Zheng på Alibaba Inc. och Luyi Xing på Indiana University Bloomington

Lades till 14 december 2020

Intel Graphics Driver

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2020-27907: ABC Research s.r.o. i samarbete med Trend Micro Zero Day Initiative, Liu Long på Ant Security Light-Year Lab

Lades till 14 december 2020 och uppdaterades 16 mars 2021

Image Processing

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-27919: Hou JingYi (@hjy79425575) på Qihoo 360 CERT, Xingwei Lin på Ant Security Light-Year Lab

Lades till 14 december 2020

Kernel

Effekt: En fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt

Beskrivning: Flera minnesfel åtgärdades med hjälp av förbättrad indatavalidering.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Lades till 14 december 2020

Kernel

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2020-9975: Tielei Wang på Pangu Lab

Lades till 14 december 2020

Kernel

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.

CVE-2020-27921: Linus Henze (pinauten.de)

Lades till 14 december 2020

Kernel

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Det fanns ett logikproblem som ledde till minnesfel. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2020-27904: Zuozhi Fan (@pattern_F_) på Ant Group Tianqong Security Lab

Kernel

Effekt: En angripare i en behörig nätverksposition kan införas i anslutningar inom en VPN-tunnel

Beskrivning: Ett dirigeringsproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2019-14899: William J. Tolley, Beau Kujath och Jedidiah R. Crandall

Kernel

Effekt: Ett program med skadligt innehåll kan komma åt kernelminnet. Apple är medveten om rapporter som cirkulerar angående en existerande exploatör av detta problem.

Beskrivning: Ett minnesinitieringsfel åtgärdades.

CVE-2020-27950: Google Project Zero

Kernel

Effekt: Ett program med skadligt innehåll kan ta reda på schemat för kernelminnet

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-10016: Alex Helie

Kernel

Effekt: Ett program med skadligt innehåll kan köra opålitlig kod med kernelbehörighet. Apple är medveten om rapporter som cirkulerar angående en existerande exploatör av detta problem.

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad lägeshantering.

CVE-2020-27932: Google Project Zero

libxml2

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av kod

Beskrivning: ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2020-27917: hittad av OSS-Fuzz

CVE-2020-27920: Hittad av OSS-Fuzz

Uppdaterades 14 december 2020

libxml2

Effekt: en fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2020-27911: hittad av OSS-Fuzz

libxpc

Effekt: en app med skadligt innehåll kan höja behörigheter

Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2020-9971: Zhipeng Huo (@R3dF09) på Tencent Security Xuanwu Lab

Lades till 14 december 2020

libxpc

Effekt: Ett program med skadligt innehåll kan bryta sig ut från sin sandlåda

Beskrivning: Ett tolkningsfel i hanteringen av katalogsökvägar åtgärdades med förbättrad sökvägsvalidering.

CVE-2020-10014: Zhipeng Huo (@R3dF09) på Tencent Security Xuanwu Lab

Loggning

Effekt: en lokal angripare kan höja sin behörighet

Beskrivning: ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2020-10010: Tommy Muir (@Muirey03)

Mail

Effekt: En fjärrangripare kan oväntat ändra en applikations tillstånd

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2020-9941: Fabian Ising på FH Münster University of Applied Sciences och Damian Poddebniak på FH Münster University of Applied Sciences

Messages

Effekt: En lokal användare kan kanske upptäcka en användares raderade meddelanden

Beskrivning: Problemet har åtgärdats genom förbättrad borttagning.

CVE-2020-9988: William Breuer från Nederländerna

CVE-2020-9989: von Brunn Media

Model I/O

Effekt: bearbetning av en skadlig USD-fil kan leda till oväntad appavslutning eller körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-10011: Aleksandar Nikolic på Cisco Talos

Lades till 14 december 2020

Model I/O

Effekt: bearbetning av en skadlig USD-fil kan leda till oväntad appavslutning eller körning av opålitlig kod

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-13524: Aleksandar Nikolic på Cisco Talos

Model I/O

Effekt: Öppnande av en fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-10004: Aleksandar Nikolic på Cisco Talos

NetworkExtension

Effekt: en app med skadligt innehåll kan höja behörigheter

Beskrivning: ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2020-9996: Zhiwei Yuan på Trend Micro iCore Team, Junzhi Lu och Mickey Jin på Trend Micro

NSRemoteView

Effekt: en process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2020-27901: Thijs Alkemade på Computest Research Division

Lades till 14 december 2020

NSRemoteView

Effekt: Ett program med skadligt innehåll kan förhandsvisa filer som det inte har åtkomst till

Beskrivning: Ett problem förekom i hanteringen av ögonblicksbilder. Problemet åtgärdades genom förbättrad behörighetslogik.

CVE-2020-27900: Thijs Alkemade på Computest Research Division

PCRE

Effekt: Flera problem i pcre

Beskrivning: Flera problem åtgärdades genom att uppdatera till version 8.44.

CVE-2019-20838

CVE-2020-14155

Power Management

Effekt: Ett program med skadligt innehåll kan ta reda på schemat för kernelminnet

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-10007: singi@theori i samarbete med Trend Micro Zero Day Initiative

python

Effekt: Cookies från ett ursprung kunde eventuellt skickas till ett annat ursprung

Beskrivning: Flera problem åtgärdades med förbättrad logik.

CVE-2020-27896: en anonym forskare

Quick Look

Effekt: En app med skadligt innehåll kunde avgöra förekomsten av filer på datorn

Beskrivning: Problemet åtgärdades genom förbättrad hantering av symbolcache.

CVE-2020-9963: Csaba Fitzl (@theevilbit) på Offensive Security

Quick Look

Effekt: Bearbetning av ett dokument med skadligt innehåll kan leda till en attack med skriptkörning över flera sajter

Beskrivning: ett åtkomstproblem åtgärdades genom ytterligare åtkomstbegränsningar.

CVE-2020-10012: Heige på KnownSec 404 Team (knownsec.com) och Bo Qu på Palo Alto Networks (paloaltonetworks.com)

Uppdaterades 16 mars 2021

Ruby

Effekt: En fjärrangripare kan möjligen ändra filsystemet

Beskrivning: ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2020-27896: en anonym forskare

Ruby

Effekt: Vid tolkning av vissa JSON-dokument kan json gem bearbetas så att opålitliga objekt skapas i målsystemet

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2020-10663: Jeremy Evans

Safari

Effekt: besök på en webbplats med skadligt innehåll kan leda till att adressfältet förfalskas

Beskrivning: Ett problem med omstyrning förekom i hanteringen av webbadresser. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2020-9945: Narendra Bhati på Suma Soft Pvt. Ltd. Pune (Indien) @imnarendrabhati

Safari

Effekt: Ett program med skadligt innehåll kan avgöra en användares öppna flikar i Safari

Beskrivning: Ett valideringsproblem förekom i behörighetsvalideringen. Problemet åtgärdades med hjälp av förbättrad validering av processbehörigheten.

CVE-2020-9977: Josh Parnham (@joshparnham)

Safari

Effekt: besök på en webbplats med skadligt innehåll kan leda till att adressfältet förfalskas

Beskrivning: ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.

CVE-2020-9942: en anonym forskare, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora) på The City School, PAF Chapter, Ruilin Yang på Tencent Security Xuanwu Lab, YoKo Kho (@YoKoAcc) på PT Telekomunikasi Indonesia (Persero) Tbk, Zhiyang Zeng(@Wester) på OPPO ZIWU Security Lab

Safari

Effekt: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering

Beskrivning: Besök på en skadlig webbplats kan leda till att adressfältet förfalskas.

CVE-2020-9987: Rafay Baloch (cybercitadel.com) på Cyber Citadel

Lades till 21 juli 2021

Sandbox

Effekt: En lokal app kan räkna användarens iCloud-dokument

Beskrivning: problemet har åtgärdats genom förbättrad behörighetslogik.

CVE-2021-1803: Csaba Fitzl (@theevilbit) på Offensive Security

Lades till 16 mars 2021

Sandbox

Effekt: En lokal användare kan eventuellt visa känslig användarinformation

Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.

CVE-2020-9969: Wojciech Reguła på SecuRing (wojciechregula.blog)

Screen Sharing

Effekt: En användare med tillgång till skärmdelning kan visa en annan användares skärm

Beskrivning: Ett problem förekom vid skärmdelning. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2020-27893: pcsgomes

Lades till 16 mars 2021

Siri

Effekt: en person med fysisk åtkomst till en iOS-enhet kan komma åt kontakter från låsskärmen

Beskrivning: ett problem med låsskärmen tillät åtkomst till kontakter på en låst enhet. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1755: Yuval Ron, Amichai Shulman och Eli Biham på Technion – Israel Institute of Technology

Lades till 16 mars 2021

smbx

Effekt: En angripare i en privilegierad nätverksposition kan utföra ett dos-angrepp

Beskrivning: Ett problem med resursutmattning åtgärdades genom förbättrad indatavalidering.

CVE-2020-10005: Apple

Lades till 25 oktober 2021

SQLite

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2020-9991

SQLite

Effekt: En fjärrangripare kan läcka minne

Beskrivning: Ett problem med att information avslöjades åtgärdades genom förbättrad tillståndshantering.

CVE-2020-9849

SQLite

Effekt: Flera problem i SQLite

Beskrivning: Flera problem åtgärdades med förbättrade kontroller.

CVE-2020-15358

SQLite

Effekt: En SQL-fråga med skadligt innehåll kan ge upphov till att data blir förstörda

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2020-13631

SQLite

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

SQLite

Effekt: En fjärrangripare kan orsaka körning av opålitlig kod

Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-13630

Symptom Framework

Effekt: en lokal angripare kan höja sin behörighet

Beskrivning: ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2020-27899: 08Tc3wBB i samarbete med ZecOps

Lades till 14 december 2020

System Preferences

Effekt: en process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-10009: Thijs Alkemade på Computest Research Division

TCC

Effekt: En skadlig app med rotbehörigheter kan komma åt privata uppgifter

Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2020-10008: Wojciech Reguła på SecuRing (wojciechregula.blog)

Lades till 14 december 2020

WebKit

Effekt: bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2020-27918: Liu Long på Ant Security Light-Year Lab

Uppdaterades 14 december 2020

WebKit

Effekt: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering

Beskrivning: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod.

CVE-2020-9947: cc i samarbete med Trend Micro Zero Day Initiative

CVE-2020-9950: cc i samarbete med Trend Micro Zero Day Initiative

Lades till 21 juli 2021

Wi-Fi

Effekt: En angripare kan eventuellt kringgå Managed Frame Protection

Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad tillståndshantering.

CVE-2020-27898: Stephan Marais på University of Johannesburg

XNU

Effekt: en process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: Flera problem åtgärdades med förbättrad logik.

CVE-2020-27935: Lior Halphon (@LIJI32)

Lades till 17 december 2020

Xsan

Effekt: ett program med skadligt innehåll kan få tillgång till begränsade filer

Beskrivning: problemet åtgärdades med förbättrade behörigheter.

CVE-2020-10006: Wojciech Reguła (@_r3ggi) på SecuRing

Ytterligare tack

802.1X

Vi vill tacka Kenana Dalle på Hamad bin Khalifa University och Ryan Riley på Carnegie Mellon University i Qatar för hjälpen.

Lades till 14 december 2020

Audio

Vi vill tacka JunDong Xie och Xingwei Lin på Ant-Financial Light-Year Security Lab, Marc Schoenefeld Dr. rer. nat. för hjälpen.

Uppdaterades 16 mars 2021

Bluetooth

Vi vill tacka Andy Davis på NCC Group, Dennis Heinze (@ttdennis) från TU Darmstadt på Secure Mobile Networking Lab för hjälpen.

Uppdaterades 14 december 2020

Clang

Vi vill tacka Brandon Azad på Google Project Zero för hjälpen.

Kärnplacering

Vi vill tacka Yiğit Can YILMAZ (@yilmazcanyigit) för hjälpen.

Crash Reporter

Vi vill tacka Artur Byszko på AFINE för hjälpen.

Lades till 14 december 2020

Directory Utility

Vi vill tacka Wojciech Reguła (@_r3ggi) på SecuRing för hjälpen.

iAP

Vi vill tacka Andy Davis på NCC Group för hjälpen.

Kernel

Vi vill tacka Brandon Azad på Google Project Zero och Stephen Röttger på Google för hjälpen.

libxml2

Vi vill tacka en anonym forskare för hjälpen.

Lades till 14 december 2020

Login Window

Vi vill tacka Rob Morton på Leidos för hjälpen.

Lades till 16 mars 2021

Login Window

Vi vill tacka Rob Morton på Leidos för hjälpen.

Lagringsutrymme för bilder

Vi vill tacka Paulos Yibelo på LimeHats för hjälpen.

Quick Look

Vi vill tacka Csaba Fitzl (@theevilbit) och Wojciech Reguła på SecuRing (wojciechregula.blog) för deras hjälp.

Safari

Vi vill tacka Gabriel Corona och Narendra Bhati på Suma Soft Pvt. Ltd. Pune (Indien) @imnarendrabhati för deras hjälp.

Sandbox

Vi vill tacka Saagar Jha för hjälpen.

Lades till den 11 maj 2023

Security

Vi vill tacka Christian Starkjohann på Objective Development Software GmbH för hjälpen.

System Preferences

Vi vill tacka Csaba Fitzl (@theevilbit) på Offensive Security för hjälpen.

Lades till 16 mars 2021

System Preferences

Vi vill tacka Csaba Fitzl (@theevilbit) på Offensive Security för hjälpen.

WebKit

Maximilian Blochberger på Security in Distributed Systems Group, Hamburgs universitet

Lades till 25 maj 2022

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: 31 oktober 2023