เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Catalina 10.15.6, รายการอัพเดทความปลอดภัย 2020-004 Mojave, รายการอัพเดทความปลอดภัย 2020-004 High Sierra
เปิดตัวเมื่อวันที่ 15 กรกฎาคม 2020
AMD
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9927: Lilang Wu ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
อัปเดตรายการเมื่อวันที่ 5 สิงหาคม 2020
Audio
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-9884: Yu Zhou(@yuzhou6666) จาก 小鸡帮 ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2020-9889: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, JunDong Xie และ XingWei Lin จาก Ant-financial Light-Year Security Lab
อัปเดตรายการเมื่อวันที่ 5 สิงหาคม 2020
Audio
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยพลการ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-9888: JunDong Xie และ XingWei Lin จาก Ant-financial Light-Year Security Lab
CVE-2020-9890: JunDong Xie และ XingWei Lin จาก Ant-financial Light-Year Security Lab
CVE-2020-9891: JunDong Xie และ XingWei Lin จาก Ant-financial Light-Year Security Lab
อัปเดตรายการเมื่อวันที่ 5 สิงหาคม 2020
Bluetooth
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-9928: Yu Wang จาก Didi Research America
เพิ่มรายการเมื่อวันที่ 5 สิงหาคม 2020
Bluetooth
มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.5
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-9929: Yu Wang จาก Didi Research America
เพิ่มรายการเมื่อวันที่ 5 สิงหาคม 2020
Clang
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: Clang อาจสร้างโค้ดสำหรับเครื่องซึ่งไม่ได้บังคับใช้โค้ดการตรวจสอบสิทธิ์พอยเตอร์ที่ถูกต้อง
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-9870: Samuel Groß จาก Google Project Zero
CoreAudio
มีให้สำหรับ: macOS High Sierra 10.13.6
ผลกระทบ: ปัญหาบัฟเฟอร์ล้นอาจส่งผลให้เกิดการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-9866: Yu Zhou จาก 小鸡帮 และ Jundong Xie จาก Ant-Financial Light-Year Security Lab
Core Bluetooth
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: ภัยคุกคามระยะไกลอาจทำให้หยุดแอปพลิเคชันโดยไม่คาดคิด
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-9869: Patrick Wardle จาก Jamf
เพิ่มรายการเมื่อวันที่ 5 สิงหาคม 2020
CoreCapture
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-9949: Proteas
เพิ่มรายการเมื่อวันที่ 12 พฤศจิกายน 2020
CoreFoundation
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถดูข้อมูลที่สำคัญของผู้ใช้ได้
คำอธิบาย: มีปัญหาในการจัดการตัวแปรสภาพแวดล้อม ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)
อัปเดตรายการเมื่อวันที่ 5 สิงหาคม 2020
CoreGraphics
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-9883: นักวิจัยนิรนาม, Mickey Jin จาก Trend Micro
เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020 อัพเดทรายการเมื่อวันที่ 12 กันยายน 2020
Crash Reporter
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถแยกตัวออกจาก Sandbox ได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วโดยลบรหัสที่มีความเสี่ยง
CVE-2020-9865: Zhuo Liang จาก Qihoo 360 Vulcan Team ที่ทำงานร่วมกับ 360 BugCloud
Crash Reporter
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้
คำอธิบาย: มีปัญหาภายในตรรกะการตรวจสอบเส้นทางสำหรับ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลสภาพเส้นทางให้ดียิ่งขึ้น
CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) จาก Zero-dayits Team จาก Legendsec ที่ Qi'anxin Group
เพิ่มรายการเมื่อวันที่ 5 สิงหาคม 2020 อัปเดตเมื่อวันที่ 17 ธันวาคม 2021
FontParser
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-9980: Xingwei Lin จาก Ant Security Light-Year Lab
เพิ่มรายการเมื่อวันที่ 21 กันยายน 2020 อัปเดตเมื่อวันที่ 19 ตุลาคม 2020
Graphics Drivers
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-9799: ABC Research s.r.o.
อัพเดทรายการเมื่อวันที่ 24 กรกฎาคม 2020
Heimdal
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกป้องข้อมูลให้ดียิ่งขึ้น
CVE-2020-9913: Cody Thomas จาก SpecterOps
ImageIO
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27933: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
เพิ่มรายการเมื่อวันที่ 16 มีนาคม 2021
ImageIO
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: มีปัญหาบัฟเฟอร์ล้นแบบพอกพูนใน openEXR
คำอธิบาย: ปัญหาหลายประการใน openEXR ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-11758: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
CVE-2020-11759: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
CVE-2020-11760: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
CVE-2020-11761: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
CVE-2020-11762: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
CVE-2020-11763: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
CVE-2020-11764: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
CVE-2020-11765: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
เพิ่มรายการเมื่อวันที่ 8 กันยายน 2020
ImageIO
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-9871: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
CVE-2020-9872: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
CVE-2020-9874: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
CVE-2020-9879: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
CVE-2020-9936: Mickey Jin จาก Trend Micro
CVE-2020-9937: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
อัปเดตรายการเมื่อวันที่ 5 สิงหาคม 2020
ImageIO
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-9919: Mickey Jin จาก Trend Micro
เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020
ImageIO
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชันหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-9876: Mickey Jin จาก Trend Micro
เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020
ImageIO
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9873: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020
ImageIO
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-9877: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
เพิ่มรายการเมื่อวันที่ 5 สิงหาคม 2020
ImageIO
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9875: Mickey Jin จาก Trend Micro
เพิ่มรายการเมื่อวันที่ 5 สิงหาคม 2020
ImageIO
มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.5
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9873: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
CVE-2020-9984: นักวิจัยนิรนาม
เพิ่มรายการเมื่อวันที่ 21 กันยายน 2020
Image Processing
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: การดูไฟล์ JPEG ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9887: Mickey Jin จาก Trend Micro
เพิ่มรายการเมื่อวันที่ 8 กันยายน 2020
Intel Graphics Driver
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9908: Junzhi Lu(@pwn0rz) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020 และอัปเดตเมื่อวันที่ 31 สิงหาคม 2020
Intel Graphics Driver
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2020-9990: ABC Research s.r.l. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, ABC Research s.r.o. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เพิ่มรายการเมื่อวันที่ 21 กันยายน 2020
Intel Graphics Driver
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: แอปพลิเคชันประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-9921: ABC Research s.r.o. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เพิ่มรายการเมื่อวันที่ 5 สิงหาคม 2020
Kernel
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถล่วงล้ำเข้าไปในเครือข่ายที่ใช้งานอยู่ภายในอุโมงค์ VPN
คำอธิบาย: ปัญหาการกำหนดเส้นทางได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2019-14899: William J. Tolley, Beau Kujath และ Jedidiah R. Crandall
Kernel
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-9904: Tielei Wang จาก Pangu Lab
เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020
Kernel
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-9924: Matt DeVore จาก Google
เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020
Kernel
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: แอปพลิเคชันประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-9892: Andy Nguyen จาก Google
เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020
Kernel
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-9863: Xinru Chi จาก Pangu Lab
อัปเดตรายการเมื่อวันที่ 5 สิงหาคม 2020
Kernel
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: แอปพลิเคันที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-9902: Xinru Chi และ Tielei Wang จาก Pangu Lab
เพิ่มรายการเมื่อวันที่ 5 สิงหาคม 2020
Kernel
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-9905: Raz Mashat (@RazMashat) จาก ZecOps
เพิ่มรายการเมื่อวันที่ 5 สิงหาคม 2020
Kernel
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจเปิดเผยหน่วยความจำที่จำกัดไว้
คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-9997: Catalin Valeriu Lita จาก SecurityScorecard
เพิ่มรายการเมื่อวันที่ 21 กันยายน 2020
libxml2
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-9926: พบโดย OSS-Fuzz
เพิ่มรายการเมื่อวันที่ 16 มีนาคม 2021
libxpc
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถเขียนทับไฟล์ได้โดยอำเภอใจ
คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-9994: Apple
เพิ่มรายการเมื่อวันที่ 21 กันยายน 2020
Login Window
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: ผู้ใช้อาจเข้าสู่ระบบบัญชีผู้ใช้อื่นโดยไม่คาดคิด
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-9935: นักวิจัยนิรนาม
เพิ่มรายการเมื่อวันที่ 21 กันยายน 2020
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2019-19906
เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020 อัปเดตรายการเมื่อวันที่ 8 กันยายน 2020
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: เซิร์ฟเวอร์อีเมลที่เป็นอันตรายอาจเขียนทับไฟล์อีเมลโดยอำเภอใจ
คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-9920: YongYue Wang AKA BigChan จาก Hillstone Networks AF Team
เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: การประมวลผลอีเมลที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้สามารถเขียนไฟล์ได้โดยอำเภอใจ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-9922: Mikko Kenttälä (@Turmio_) จาก SensorFu
เพิ่มรายการเมื่อวันที่ 12 พฤศจิกายน 2020
Messages
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: ผู้ใช้ที่ถูกลบออกจากกลุ่ม·iMessage สามารถกลับเข้าร่วมกลุ่มได้
คำอธิบาย: มีปัญหาในการจัดการ Tapback ของ iMessage ปัญหาได้รับการแก้ไขด้วยการตรวจสอบยืนยันเพิ่มเติมแล้ว
CVE-2020-9885: นักวิจัยนิรนาม, Suryansh Mansharamani จาก WWP High School North (medium.com/@suryanshmansha)
Model I/O
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาโดยมีวัตถุประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-9878: Holger Fuhrmannek จาก Deutsche Telekom Security
Model I/O
มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.5
ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาโดยมีวัตถุประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-9880: Holger Fuhrmannek จาก Deutsche Telekom Security
เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020 อัปเดตรายการเมื่อวันที่ 21 กันยายน 2020
Model I/O
มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.5
ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาโดยมีวัตถุประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-9878: Aleksandar Nikolic จาก Cisco Talos, Holger Fuhrmannek จาก Deutsche Telekom Security
CVE-2020-9881: Holger Fuhrmannek จาก Deutsche Telekom Security
CVE-2020-9882: Holger Fuhrmannek จาก Deutsche Telekom Security
CVE-2020-9940: Holger Fuhrmannek จาก Deutsche Telekom Security
CVE-2020-9985: Holger Fuhrmannek จาก Deutsche Telekom Security
เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020 อัปเดตรายการเมื่อวันที่ 21 กันยายน 2020
OpenLDAP
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-12243
เพิ่มรายการเมื่อวันที่ 21 กันยายน 2020
Perl
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: ปัญหาจำนวนเต็มล้นในคอมไพเลอร์นิพจน์ปกติของ Perl อาจทำให้ผู้โจมตีระยะไกลสามารถแทรกคําแนะนําลงในรูปแบบนิพจน์ปกติที่คอมไพล์ไว้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-10878: Hugo van der Sanden และ Slaven Rezic
เพิ่มรายการเมื่อวันที่ 16 มีนาคม 2021
Perl
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-12723: Sergey Aleynikov
เพิ่มรายการเมื่อวันที่ 16 มีนาคม 2021
rsync
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเขียนทับไฟล์ที่มีอยู่ได้
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น
CVE-2014-9512: gaojianfeng
เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020
Sandbox
มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.5
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9930: Zhiyi Zhang จาก Codesafe Team จาก Legendsec at Qi'anxin Group
เพิ่มรายการเมื่อวันที่ 15 ธันวาคม 2020
Sandbox
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถโหลดส่วนขยายเคอร์เนลที่ไม่ได้ลงชื่อ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-9939: @jinmo123, @setuid0x0_ และ @insu_yun_en จาก @SSLab_Gatech ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เพิ่มรายการเมื่อวันที่ 5 สิงหาคม 2020
Security
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2020-9864: Alexander Holodny
Security
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: ผู้โจมตีอาจสามารถเลียนแบบเว็บไซต์ที่เชื่อถือได้ โดยใช้เนื้อหาหลักที่ใช้ร่วมกันสำหรับใบรับรองที่เพิ่มโดยผู้ดูแลระบบ
คำอธิบาย: มีปัญหาการตรวจสอบใบรับรองเมื่อประมวลผลใบรับรองที่เพิ่มโดยผู้ดูแลระบบ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบใบรับรองให้ดียิ่งขึ้น
CVE-2020-9868: Brian Wolff จาก Asana
เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020
Security
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: แอปพลิเคชั่นอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-9854: Ilias Morad (A2nkF)
เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020
sysdiagnose
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้
คำอธิบาย: มีปัญหาภายในตรรกะการตรวจสอบเส้นทางสำหรับ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลสภาพเส้นทางให้ดียิ่งขึ้น
CVE-2020-9901: Tim Michaud (@TimGMichaud) จาก Leviathan, Zhongcheng Li (CK01) จาก Zero-dayits Team จาก Legendsec ที่ Qi'anxin Group
เพิ่มรายการเมื่อวันที่ 5 สิงหาคม 2020 และอัปเดตเมื่อวันที่ 31 สิงหาคม 2020
Vim
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2019-20807: Guilherme de Almeida Suckevicz
WebDAV
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น
CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)
เพิ่มรายการเมื่อวันที่ 8 กันยายน 2020
Wi-Fi
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดการยุติระบบโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9918: Jianjun Dai จาก 360 Alpha Lab ที่ทำงานร่วมกับ 360 BugCloud (bugcloud.360.cn)
Wi-Fi
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9899: Yu Wang จาก Didi Research America
เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020
Wi-Fi
มีให้สำหรับ: macOS Catalina 10.15.5
ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดการยุติระบบโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9906: Ian Beer จาก Google Project Zero
เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020
คำขอบคุณพิเศษ
CoreFoundation
เราขอขอบคุณสำหรับความช่วยเหลือจาก Bobby Pelletier
เพิ่มรายการเมื่อวันที่ 8 กันยายน 2020
ImageIO
เราขอขอบคุณสำหรับความช่วยเหลือจาก Xingwei Lin จาก Ant-Financial Light-Year Security Lab
เพิ่มรายการเมื่อวันที่ 21 กันยายน 2020
Siri
เราขอขอบคุณสำหรับความช่วยเหลือจาก Yuval Ron, Amichai Shulman และ Eli Biham จาก Technion - Israel Institute of Technology
เพิ่มรายการเมื่อวันที่ 5 สิงหาคม 2020
USB Audio
เราขอขอบคุณสำหรับความช่วยเหลือจาก Andy Davis จาก NCC Group