เกี่ยวกับเนื้อหาความปลอดภัยของ macOS Big Sur 11.1, รายการอัปเดตความปลอดภัย 2020-001 Catalina, รายการอัปเดตความปลอดภัย 2020-007 Mojave

เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ macOS Big Sur 11.1, รายการอัปเดตความปลอดภัย 2020-001 Catalina, รายการอัปเดตความปลอดภัย 2020-007 Mojave

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ตาม CVE-ID

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Big Sur 11.1, รายการอัปเดตความปลอดภัย 2020-001 Catalina, รายการอัปเดตความปลอดภัย 2020-007 Mojave

เปิดตัวเมื่อวันที่ 14 ธันวาคม 2020

AMD

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอปพลิเคชันประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27914: Yu Wang จาก Didi Research America

CVE-2020-27915: Yu Wang จาก Didi Research America

AMD

มีให้สำหรับ: macOS Big Sur 11.0.1

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27936: Yu Wang จาก Didi Research America

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

App Store

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอปพลิเคชันอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2020-27903: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab

AppleGraphicsControl

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2020-27941: shrek_wzw

AppleMobileFileIntegrity

มีให้สำหรับ: macOS Big Sur 11.0.1

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2020-29621: Wojciech Reguła (@_r3ggi) จาก SecuRing

Audio

มีให้สำหรับ: macOS Big Sur 11.0.1

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำที่จำกัด

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-29610: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 16 มีนาคม 2021

Audio

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

CVE-2020-27910: JunDong Xie และ XingWei Lin จาก Ant Security Light-Year Lab

Audio

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9943: JunDong Xie จาก Ant Security Light-Year Lab

Audio

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอปพลิเคชันอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

CVE-2020-9944: JunDong Xie จาก Ant Security Light-Year Lab

Audio

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยพลการ

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27916: JunDong Xie จาก Ant Security Light-Year Lab

Bluetooth

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือเกิดการล่มของฮีพ

คำอธิบาย: ปัญหาการล้นของจำนวนเต็มจำนวนมากได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27906: Zuozhi Fan (@pattern_F_) จาก Ant Group Tianqiong Security Lab

CoreAudio

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-27948: JunDong Xie จาก Ant Security Light-Year Lab

CoreAudio

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

CVE-2020-27908: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, JunDong Xie และ XingWei Lin จาก Ant Security Light-Year Lab

CVE-2020-9960: JunDong Xie และ Xingwei Lin จาก Ant Security Light-Year Lab

อัปเดตรายการเมื่อวันที่ 16 มีนาคม 2021

CoreAudio

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

CVE-2020-10017: Francis ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative, JunDong Xie จาก Ant Security Light-Year Lab

CoreText

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-27922: Mickey Jin จาก Trend Micro

CUPS

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-10001: Niky

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

FontParser

มีให้สำหรับ: macOS Big Sur 11.0.1

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-27946: Mateusz Jurczyk จาก Google Project Zero

FontParser

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

FontParser

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

CVE-2020-27952: นักวิจัยนิรนาม, Mickey Jin และ Junzhi Lu จาก Trend Micro

FontParser

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

CVE-2020-9956: Mickey Jin และ Junzhi Lu จาก Trend Micro Mobile Security Research Team ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

FontParser

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1

คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27931: Apple

CVE-2020-27943: Mateusz Jurczyk จาก Google Project Zero

CVE-2020-27944: Mateusz Jurczyk จาก Google Project Zero

CVE-2020-29624: Mateusz Jurczyk จาก Google Project Zero

อัปเดตรายการเมื่อวันที่ 22 ธันวาคม 2020

FontParser

มีให้สำหรับ: macOS Big Sur 11.0.1

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้

CVE-2020-29608: Xingwei Lin จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

Foundation

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านไฟล์ได้โดยอำเภอใจ

CVE-2020-10002: James Hutchins

Graphics Drivers

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ

CVE-2020-27947: ABC Research s.r.o. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Liu Long จาก Ant Security Light-Year Lab

อัปเดตรายการเมื่อวันที่ 16 มีนาคม 2021

Graphics Drivers

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

CVE-2020-29612: ABC Research s.r.o. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

HomeKit

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถเปลี่ยนแปลงสถานะแอปพลิเคชันโดยไม่คาดคิดได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการกระจายการตั้งค่าให้ดียิ่งขึ้น

CVE-2020-9978: Luyi Xing, Dongfang Zhao และ Xiaofeng Wang จาก Indiana University Bloomington, Yan Jia จาก Xidian University และ University of Chinese Academy of Sciences และ Bin Yuan จาก HuaZhong University of Science and Technology

ImageIO

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.7

CVE-2020-27939: Xingwei Lin จาก Ant Security Light-Year Lab

CVE-2020-29625: XingWei Lin จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2020 อัปเดตเมื่อวันที่ 1 กุมภาพันธ์ 2021

ImageIO

มีให้สำหรับ: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

CVE-2020-29615: Xingwei Lin จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

ImageIO

มีให้สำหรับ: macOS Big Sur 11.0.1

CVE-2020-29616: zhouat ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

ImageIO

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

CVE-2020-27924: Lei Sun

CVE-2020-29618: Xingwei Lin จาก Ant Security Light-Year Lab

ImageIO

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1

CVE-2020-29611: Alexandru-Vlad Niculae ที่ทำงานร่วมกับ Google Project Zero

อัปเดตรายการเมื่อวันที่ 17 ธันวาคม 2020

ImageIO

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

ผลกระทบ: การประมวลผลรูปภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การล่มของฮีพ

CVE-2020-29617: Xingwei Lin จาก Ant Security Light-Year Lab

CVE-2020-29619: Xingwei Lin จาก Ant Security Light-Year Lab

ImageIO

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

CVE-2020-27912: Xingwei Lin จาก Ant Security Light-Year Lab

CVE-2020-27923: Lei Sun

Image Processing

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

CVE-2020-27919: Hou JingYi (@hjy79425575) จาก Qihoo 360 CERT, Xingwei Lin จาก Ant Security Light-Year Lab

Intel Graphics Driver

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ

CVE-2020-10015: ABC Research s.r.o. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2020-27897: Xiaolong Bai และ Min (Spark) Zheng จาก Alibaba Inc. และ Luyi Xing จาก Indiana University Bloomington

Intel Graphics Driver

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-27907: ABC Research s.r.o. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Liu Long จาก Ant Security Light-Year Lab

อัปเดตรายการเมื่อวันที่ 16 มีนาคม 2021

Kernel

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-10016: Alex Helie

Kernel

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดการยุติระบบโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Kernel

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9975: Tielei Wang จาก Pangu Lab

Kernel

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-27921: Linus Henze (pinauten.de)

Kernel

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสร้างการเปลี่ยนแปลงที่ไม่คาดคิดในหน่วยความจำที่เป็นของกระบวนการซึ่งถูกติดตามโดย DTrace

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการตรวจสอบเพื่อป้องกันการกระทำที่ไม่ได้รับอนุญาต

CVE-2020-27949: Steffen Klee (@_kleest) จาก TU Darmstadt, Secure Mobile Networking Lab

Kernel

มีให้สำหรับ: macOS Big Sur 11.0.1

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น

CVE-2020-29620: Csaba Fitzl (@theevilbit) จาก Offensive Security

libxml2

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27911: พบโดย OSS-Fuzz

libxml2

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด

CVE-2020-27920: พบโดย OSS-Fuzz

libxml2

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

CVE-2020-27926: พบโดย OSS-Fuzz

libxpc

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถแยกตัวออกจาก Sandbox ได้

คำอธิบาย: ปัญหาการแยกวิเคราะห์ที่เกิดขึ้นในการจัดการกับพาธไดเรกทอรีได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบพาธให้ดียิ่งขึ้น

CVE-2020-10014: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab

Logging

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2020-10010: Tommy Muir (@Muirey03)

Login Window

มีให้สำหรับ: macOS Big Sur 11.0.1

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถบายพาสนโยบายการตรวจสอบสิทธิ์ได้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-29633: Jewel Lambert จาก Original Spin, LLC.

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

Model I/O

มีให้สำหรับ: macOS Big Sur 11.0.1

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อทำอันตรายอาจทำให้ฮีพล่ม

CVE-2020-29614: ZhiWei Sun(@5n1p3r0010) จาก Topsec Alpha Lab

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

Model I/O

มีให้สำหรับ: macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาโดยมีวัตถุประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยพลการ

CVE-2020-13520: Aleksandar Nikolic จาก Cisco Talos

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

Model I/O

มีให้สำหรับ: , macOS Catalina 10.15.7, macOS Big Sur 11.0.1

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9972: Aleksandar Nikolic จาก Cisco Talos

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

Model I/O

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

CVE-2020-13524: Aleksandar Nikolic จาก Cisco Talos

Model I/O

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การเปิดไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือทำให้มีการใช้รหัสโดยอำเภอใจ

CVE-2020-10004: Aleksandar Nikolic จาก Cisco Talos

NSRemoteView

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2020-27901: Thijs Alkemade จาก Computest Research Division

Power Management

มีให้สำหรับ: macOS Big Sur 11.0.1

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

CVE-2020-27938: Tim Michaud (@TimGMichaud) จาก Leviathan

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

Power Management

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

CVE-2020-10007: singi@theori ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative

Quick Look

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลเอกสารที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการโจมตีแบบส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2020-10012: Heige จาก KnownSec 404 Team (knownsec.com) และ Bo Qu จาก Palo Alto Networks (paloaltonetworks.com)

Ruby

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถปรับเปลี่ยนระบบไฟล์ได้

CVE-2020-27896: นักวิจัยนิรนาม

System Preferences

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

CVE-2020-10009: Thijs Alkemade จาก Computest Research Division

WebKit Storage

มีให้สำหรับ: macOS Big Sur 11.0.1

ผลกระทบ: ผู้ใช้อาจไม่สามารถลบประวัติการเรียกดูได้ทั้งหมด

คำอธิบาย: "ล้างประวัติและข้อมูลเว็บไซต์" ไม่ล้างประวัติ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการลบข้อมูลให้ดียิ่งขึ้น

CVE-2020-29623: Simon Hunt จาก OvalTwo LTD

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

WebRTC

มีให้สำหรับ: macOS Big Sur 11.0.1

CVE-2020-15969: นักวิจัยนิรนาม

Wi-Fi

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: ผู้โจมตีอาจสามารถบายพาส Managed Frame Protection ได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-27898: Stephan Marais จาก University of Johannesburg

คำขอบคุณพิเศษ

CoreAudio

เราขอขอบคุณสำหรับความช่วยเหลือจาก JunDong Xie และ Xingwei Lin จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 16 มีนาคม 2021

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 28 พฤศจิกายน 2566