เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Big Sur 11.0.1
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Big Sur 11.0.1
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Big Sur 11.0.1
AMD
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27914: Yu Wang จาก Didi Research America
CVE-2020-27915: Yu Wang จาก Didi Research America
App Store
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก
CVE-2020-27903: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab
Audio
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27910: JunDong Xie และ XingWei Lin จาก Ant Security Light-Year Lab
Audio
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27916: JunDong Xie จาก Ant Security Light-Year Lab
Audio
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-9943: JunDong Xie จาก Ant Group Light-Year Security Lab
Audio
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-9944: JunDong Xie จาก Ant Group Light-Year Security Lab
Bluetooth
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือเกิดการล่มของฮีพ
คำอธิบาย: ปัญหาการล้นของจำนวนเต็มจำนวนมากได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27906: Zuozhi Fan (@pattern_F_) จาก Ant Group Tianqiong Security Lab
CFNetwork Cache
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยพลการ
คำอธิบาย: ปัญหาจำนวนเต็มเกินได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27945: Zhuo Liang จาก Qihoo 360 Vulcan Team
CoreAudio
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27908: JunDong Xie และ XingWei Lin จาก Ant Security Light-Year Lab
CVE-2020-27909: บุคคลนิรนามที่ทำงานร่วมกับ Trend Micro Zero Day Initiative, JunDong Xie และ XingWei Lin จาก Ant Security Light-Year Lab
CVE-2020-9960: JunDong Xie และ Xingwei Lin จาก Ant Security Light-Year Lab
CoreAudio
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-10017: Francis ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative, JunDong Xie จาก Ant Security Light-Year Lab
CoreCapture
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-9949: Proteas
CoreGraphics
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้โค้ดโดยพลการ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9897: S.Y. จาก ZecOps Mobile XDR, นักวิจัยนิรนาม
CoreGraphics
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9883: นักวิจัยนิรนาม, Mickey Jin จาก Trend Micro
Crash Reporter
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้
คำอธิบาย: มีปัญหาภายในตรรกะการตรวจสอบเส้นทางสำหรับ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลสภาพเส้นทางให้ดียิ่งขึ้น
CVE-2020-10003: Tim Michaud (@TimGMichaud) จาก Leviathan
CoreText
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-27922: Mickey Jin จาก Trend Micro
CoreText
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-9999: Apple
Directory Utility
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจเข้าถึงข้อมูลส่วนตัวได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-27937: Wojciech Reguła (@_r3ggi) จาก SecuRing
Disk Images
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9965: Proteas
CVE-2020-9966: Proteas
Finder
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้ใช้อาจไม่สามารถลบเมตาดาต้าที่ระบุว่าไฟล์ถูกดาวน์โหลดมาจากที่ใดได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการควบคุมผู้ใช้เพิ่มเติม
CVE-2020-27894: Manuel Trezza จาก Shuggr (shuggr.com)
FontParser
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-36615: Peter Nguyen Hoang Vu (@peternguyen14) จาก STAR Labs
FontParser
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-1790: Peter Nguyen Vu Hoang จาก STAR Labs
FontParser
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก
CVE-2021-1775: Mickey Jin และ Qi Sun จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
FontParser
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-29629: นักวิจัยนิรนาม
FontParser
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-27942: นักวิจัยนิรนาม
FontParser
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น
CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)
FontParser
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27952: นักวิจัยนิรนาม, Mickey Jin และ Junzhi Lu จาก Trend Micro
FontParser
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9956: Mickey Jin และ Junzhi Lu จาก Trend Micro Mobile Security Research Team ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
FontParser
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27931: Apple
FontParser
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการใช้ประโยชน์จากปัญหานี้เกิดขึ้น
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27930: Google Project Zero
FontParser
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-27927: Xingwei Lin จาก Ant Security Light-Year Lab
FontParser
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-29639: Mickey Jin และ Qi Sun จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
Foundation
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านไฟล์ได้โดยอำเภอใจ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-10002: James Hutchins
HomeKit
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถเปลี่ยนแปลงสถานะแอปพลิเคชันโดยไม่คาดคิดได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการกระจายการตั้งค่าให้ดียิ่งขึ้น
CVE-2020-9978: Luyi Xing, Dongfang Zhao และ Xiaofeng Wang จาก Indiana University Bloomington, Yan Jia จาก Xidian University และ University of Chinese Academy of Sciences และ Bin Yuan จาก HuaZhong University of Science and Technology
ImageIO
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-9955: Mickey Jin จาก Trend Micro, Xingwei Lin จาก Ant Security Light-Year Lab
ImageIO
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27924: Lei Sun
ImageIO
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27912: Xingwei Lin จาก Ant Security Light-Year Lab
CVE-2020-27923: Lei Sun
ImageIO
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชันหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-9876: Mickey Jin จาก Trend Micro
Intel Graphics Driver
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-10015: ABC Research s.r.o. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2020-27897: Xiaolong Bai และ Min (Spark) Zheng จาก Alibaba Inc. และ Luyi Xing จาก Indiana University Bloomington
Intel Graphics Driver
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-27907: ABC Research s.r.o. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Liu Long จาก Ant Security Light-Year Lab
Image Processing
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27919: Hou JingYi (@hjy79425575) จาก Qihoo 360 CERT, Xingwei Lin จาก Ant Security Light-Year Lab
Kernel
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดการยุติระบบโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9967: Alex Plaskett (@alexjplaskett)
Kernel
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-9975: Tielei Wang จาก Pangu Lab
Kernel
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-27921: Linus Henze (pinauten.de)
Kernel
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาตรรกะที่ส่งผลให้หน่วยความจำเสียหาย ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-27904: Zuozhi Fan (@pattern_F_) จาก Ant Group Tianqong Security Lab
Kernel
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถล่วงล้ำเข้าไปในเครือข่ายที่ใช้งานอยู่ภายในอุโมงค์ VPN
คำอธิบาย: ปัญหาการกำหนดเส้นทางได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2019-14899: William J. Tolley, Beau Kujath และ Jedidiah R. Crandall
Kernel
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถเปิดเผยหน่วยความจำเคอร์เนลได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการใช้ประโยชน์จากปัญหานี้เกิดขึ้น
คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้ว
CVE-2020-27950: Google Project Zero
Kernel
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-10016: Alex Helie
Kernel
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการใช้ประโยชน์จากปัญหานี้เกิดขึ้น
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-27932: Google Project Zero
libxml2
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-27917: พบโดย OSS-Fuzz
CVE-2020-27920: พบโดย OSS-Fuzz
libxml2
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27911: พบโดย OSS-Fuzz
libxpc
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-9971: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab
libxpc
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถแยกตัวออกจาก Sandbox ได้
คำอธิบาย: ปัญหาการแยกวิเคราะห์ที่เกิดขึ้นในการจัดการกับพาธไดเรกทอรีได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบพาธให้ดียิ่งขึ้น
CVE-2020-10014: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab
Logging
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้
คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-10010: Tommy Muir (@Muirey03)
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเปลี่ยนแปลงสถานะแอปพลิเคชันโดยไม่คาดคิดได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-9941: Fabian Ising จาก FH Münster University of Applied Sciences และ Damian Poddebniak จาก FH Münster University of Applied Sciences
Messages
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถค้นพบข้อความที่ลบไปแล้วของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการลบข้อมูลให้ดียิ่งขึ้น
CVE-2020-9988: William Breuer จากเนเธอร์แลนด์
CVE-2020-9989: von Brunn Media
Model I/O
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาโดยมีวัตถุประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-10011: Aleksandar Nikolic จาก Cisco Talos
Model I/O
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาโดยมีวัตถุประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-13524: Aleksandar Nikolic จาก Cisco Talos
Model I/O
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การเปิดไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-10004: Aleksandar Nikolic จาก Cisco Talos
NetworkExtension
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-9996: Zhiwei Yuan จาก Trend Micro iCore Team, Junzhi Lu และ Mickey Jin จาก Trend Micro
NSRemoteView
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2020-27901: Thijs Alkemade จาก Computest Research Division
NSRemoteView
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถดูตัวอย่างไฟล์ที่ไม่สามารถเข้าถึงได้
คำอธิบาย: มีปัญหาในการจัดการสแนปช็อต ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น
CVE-2020-27900: Thijs Alkemade จาก Computest Research Division
PCRE
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: มีปัญหาจำนวนมากใน Pcre
คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วโดยการอัปเดตเป็น เวอร์ชั่น 8.44
CVE-2019-20838
CVE-2020-14155
Power Management
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-10007: singi@theori ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative
python
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: คุกกี้ที่เป็นของต้นทางหนึ่งอาจถูกส่งไปที่ต้นทางอื่น
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2020-27896: นักวิจัยนิรนาม
Quick Look
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปที่เป็นอันตรายอาจสามารถระบุการมีอยู่ของไฟล์ในคอมพิวเตอร์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคชไอคอน
CVE-2020-9963: Csaba Fitzl (@theevilbit) จาก Offensive Security
Quick Look
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลเอกสารที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการโจมตีแบบส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น
CVE-2020-10012: Heige จาก KnownSec 404 Team (knownsec.com) และ Bo Qu จาก Palo Alto Networks (paloaltonetworks.com)
Ruby
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถปรับเปลี่ยนระบบไฟล์ได้
คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-27896: นักวิจัยนิรนาม
Ruby
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: เมื่อแยกวิเคราะห์เอกสาร JSON บางรายการ json gem อาจถูกบังคับควบคุมให้สร้างวัตถุโดยอำเภอใจในระบบเป้าหมายได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-10663: Jeremy Evans
Safari
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่
คำอธิบาย: มีปัญหาการเลียนแบบในการจัดการ URL ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9945: Narendra Bhati จาก Suma Soft Pvt. Ltd. Pune (อินเดีย) @imnarendrabhati
Safari
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถระบุแท็บที่เปิดอยู่ของผู้ใช้ใน Safari ได้
คำอธิบาย: มีปัญหาเกี่ยวกับการตรวจสอบในการตรวจสอบยืนยันสิทธิ์ ปัญหาได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบกระบวนการให้ดียิ่งขึ้น
CVE-2020-9977: Josh Parnham (@joshparnham)
Safari
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่
คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-9942: นักวิจัยนิรนาม, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora) จาก The City School, PAF Chapter, Ruilin Yang จาก Tencent Security Xuanwu Lab, YoKo Kho (@YoKoAcc) จาก PT Telekomunikasi Indonesia (Persero) Tbk, Zhiyang Zeng(@Wester) จาก OPPO ZIWU Security Lab
Safari
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
คำอธิบาย: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่
CVE-2020-9987: Rafay Baloch (cybercitadel.com) จาก Cyber Citadel
Sandbox
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันเฉพาะที่อาจสามารถแจกแจงเอกสาร iCloud ของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น
CVE-2021-1803: Csaba Fitzl (@theevilbit) จาก Offensive Security
Sandbox
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถดูข้อมูลที่สำคัญของผู้ใช้ได้
คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยข้อจำกัด Sandbox เพิ่มเติม
CVE-2020-9969: Wojciech Reguła จาก SecuRing (wojciechregula.blog)
Screen Sharing
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้ใช้ที่มีสิทธิ์เข้าถึงการแชร์หน้าจออาจสามารถดูหน้าจอของผู้ใช้คนอื่นได้
คำอธิบาย: มีปัญหาในการแชร์หน้าจอ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-27893: pcsgomes
Siri
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้ที่สามารถเข้าถึงตัวเครื่องของอุปกรณ์ iOS อาจเข้าถึงรายชื่อจากหน้าจอล็อคได้
คำอธิบาย: ปัญหาหน้าจอล็อคอนุญาตให้เข้าถึงรายชื่อในอุปกรณ์ที่ล็อคอยู่ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1755: Yuval Ron, Amichai Shulman และ Eli Biham จาก Technion - Israel Institute of Technology
smbx
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิพิเศษอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหาทรัพยากรลดลงได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-10005: Apple
SQLite
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-9991
SQLite
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้
คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-9849
SQLite
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: มีปัญหาจำนวนมากใน SQLite
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-15358
SQLite
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การสอบถาม SQL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลล่ม
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-13631
SQLite
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-13434
CVE-2020-13435
CVE-2020-9991
SQLite
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-13630
Symptom Framework
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-27899: 08Tc3wBB ที่ทำงานร่วมกับ ZecOps
System Preferences
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-10009: Thijs Alkemade จาก Computest Research Division
TCC
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายที่มีสิทธิ์ระดับรากอาจเข้าถึงข้อมูลส่วนบุคคลได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2020-10008: Wojciech Reguła จาก SecuRing (wojciechregula.blog)
WebKit
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-27918: Liu Long จาก Ant Security Light-Year Lab
WebKit
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
คำอธิบาย: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
CVE-2020-9947: cc ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2020-9950: cc ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
Wi-Fi
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: ผู้โจมตีอาจสามารถบายพาส Managed Frame Protection ได้
คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-27898: Stephan Marais จาก University of Johannesburg
XNU
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2020-27935: Lior Halphon (@LIJI32)
Xsan
มีให้บริการสำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ปี 2013 และใหม่กว่า), MacBook Pro (ปลายปี 2013 และใหม่กว่า), Mac mini (ปี 2014 และใหม่กว่า), iMac (ปี 2014 และใหม่กว่า), MacBook (ปี 2015 และใหม่กว่า), iMac Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจเข้าถึงไฟล์ที่มีการจำกัดสิทธิ์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น
CVE-2020-10006: Wojciech Reguła (@_r3ggi) จาก SecuRing
คำขอบคุณพิเศษ
802.1X
เราขอขอบคุณสำหรับความช่วยเหลือกจาก Kenana Dalle จาก Hamad bin Khalifa University และ Ryan Riley จาก Carnegie Mellon University ในกาตาร์
Audio
เราขอขอบคุณสำหรับความช่วยเหลือจาก JunDong Xie และ Xingwei Lin จาก Ant-Financial Light-Year Security Lab, Marc Schoenefeld Dr. rer. nat. จาก Digital Security
Bluetooth
เราขอขอบคุณสำหรับความช่วยเหลือจาก Andy Davis จาก NCC Group, Dennis Heinze (@ttdennis) จาก TU Darmstadt, Secure Mobile Networking Lab
Clang
เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Azad จาก Google Project Zero
Core Location
เราขอขอบคุณสำหรับความช่วยเหลือจาก Yiğit Can YILMAZ (@yilmazcanyigit)
Crash Reporter
เราขอขอบคุณสำหรับความช่วยเหลือจาก Artur Byszko จาก AFINE
Directory Utility
เราขอขอบคุณสำหรับความช่วยเหลือจาก Wojciech Reguła (@_r3ggi) จาก SecuRing
iAP
เราขอขอบคุณสำหรับความช่วยเหลือจาก Andy Davis จาก NCC Group
Kernel
เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Azad จาก Google Project Zero, Stephen Röttger จาก Google
libxml2
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
Login Window
เราขอขอบคุณสำหรับความช่วยเหลือจาก Rob Morton จาก Leidos
Login Window
เราขอขอบคุณสำหรับความช่วยเหลือจาก Rob Morton จาก Leidos
Photos Storage
เราขอขอบคุณสำหรับความช่วยเหลือจาก Paulos Yibelo จาก LimeHats
Quick Look
เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) และ Wojciech Reguła จาก SecuRing (wojciechregula.blog)
Safari
เราขอขอบคุณสำหรับความช่วยเหลือจาก Gabriel Corona และ Narendra Bhati จาก Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati
Sandbox
เราขอขอบคุณสำหรับความช่วยเหลือจาก Saagar Jha
Security
เราขอขอบคุณสำหรับความช่วยเหลือจาก Christian Starkjohann จาก Objective Development Software GmbH
System Preferences
เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Offensive Security
System Preferences
เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Offensive Security
WebKit
Maximilian Blochberger จาก Security in Distributed Systems Group จาก University of Hamburg
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม