เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Catalina 10.15.7, รายการอัพเดทความปลอดภัย 2020-005 High Sierra, รายการอัพเดทความปลอดภัย 2020-005 Mojave

เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ macOS Catalina 10.15.7, รายการอัพเดทความปลอดภัย 2020-005 High Sierra, รายการอัพเดทความปลอดภัย 2020-005 Mojave

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Catalina 10.15.7, รายการอัพเดทความปลอดภัย 2020-005 High Sierra, รายการอัพเดทความปลอดภัย 2020-005 Mojave

CoreAudio

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: การเล่นไฟล์เสียงที่ประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9954: Francis ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, JunDong Xie จาก Ant Group Light-Year Security Lab

ค้นหาของฉัน

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถอ่านข้อมูลที่อ่อนไหวเกี่ยวกับตำแหน่งที่ตั้งได้

คำอธิบาย: มีปัญหาการเข้าถึงไฟล์ในไฟล์โฟลเดอร์เริ่มต้นบางไฟล์ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2020-9986: Tim Kornhuber, Milan Stute และ Alexander Heinrich จาก TU Darmstadt, Secure Mobile Networking Lab

ImageIO

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9961: Xingwei Lin จาก Ant Security Light-Year Lab

libxml2

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9981: พบโดย OSS-Fuzz

เมล

มีให้สำหรับ: macOS High Sierra 10.13.6

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเปลี่ยนแปลงสถานะแอพพลิเคชั่นโดยไม่คาดคิดได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2020-9941: Fabian Ising จาก FH Münster University of Applied Sciences และ Damian Poddebniak จาก FH Münster University of Applied Sciences

รุ่น I/O

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-10011: Aleksandar Nikolic จาก Cisco Talos

CVE-2020-9973: Aleksandar Nikolic จาก Cisco Talos

รุ่น I/O

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15

ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-13520: Aleksandar Nikolic จาก Cisco Talos

Sandbox

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจเข้าถึงไฟล์ที่มีการจำกัดสิทธิ์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2020-9968: Adam Chester (@_xpn_) จาก TrustedSec

Wi-Fi

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-10013: Yu Wang จาก Didi Research America

คำขอบคุณพิเศษ

บลูทูธ

เราขอขอบคุณสำหรับความช่วยเหลือจาก Andy Davis จาก NCC Group