เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Catalina 10.15.7, รายการอัพเดทความปลอดภัย 2020-005 High Sierra, รายการอัพเดทความปลอดภัย 2020-005 Mojave
เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ macOS Catalina 10.15.7, รายการอัพเดทความปลอดภัย 2020-005 High Sierra, รายการอัพเดทความปลอดภัย 2020-005 Mojave
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Catalina 10.15.7, รายการอัพเดทความปลอดภัย 2020-005 High Sierra, รายการอัพเดทความปลอดภัย 2020-005 Mojave
CoreAudio
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: การเล่นไฟล์เสียงที่ประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-9954: Francis ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, JunDong Xie จาก Ant Group Light-Year Security Lab
ค้นหาของฉัน
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถอ่านข้อมูลที่อ่อนไหวเกี่ยวกับตำแหน่งที่ตั้งได้
คำอธิบาย: มีปัญหาการเข้าถึงไฟล์ในไฟล์โฟลเดอร์เริ่มต้นบางไฟล์ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น
CVE-2020-9986: Tim Kornhuber, Milan Stute และ Alexander Heinrich จาก TU Darmstadt, Secure Mobile Networking Lab
ImageIO
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9961: Xingwei Lin จาก Ant Security Light-Year Lab
libxml2
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-9981: พบโดย OSS-Fuzz
เมล
มีให้สำหรับ: macOS High Sierra 10.13.6
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเปลี่ยนแปลงสถานะแอพพลิเคชั่นโดยไม่คาดคิดได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-9941: Fabian Ising จาก FH Münster University of Applied Sciences และ Damian Poddebniak จาก FH Münster University of Applied Sciences
รุ่น I/O
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-10011: Aleksandar Nikolic จาก Cisco Talos
CVE-2020-9973: Aleksandar Nikolic จาก Cisco Talos
รุ่น I/O
มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15
ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-13520: Aleksandar Nikolic จาก Cisco Talos
Sandbox
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจเข้าถึงไฟล์ที่มีการจำกัดสิทธิ์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2020-9968: Adam Chester (@_xpn_) จาก TrustedSec
Wi-Fi
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-10013: Yu Wang จาก Didi Research America
คำขอบคุณพิเศษ
บลูทูธ
เราขอขอบคุณสำหรับความช่วยเหลือจาก Andy Davis จาก NCC Group
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม