เกี่ยวกับเนื้อหาความปลอดภัยของของ macOS Catalina 10.15.6, รายการอัพเดทความปลอดภัย 2020-004 Mojave, รายการอัพเดทความปลอดภัย 2020-004 High Sierra

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS Catalina 10.15.6, รายการอัพเดทความปลอดภัย 2020-004 Mojave, รายการอัพเดทความปลอดภัย 2020-004 High Sierra

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Catalina 10.15.6, รายการอัพเดทความปลอดภัย 2020-004 Mojave, รายการอัพเดทความปลอดภัย 2020-004 High Sierra

เปิดตัวเมื่อวันที่ 15 กรกฎาคม 2020

AMD

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9927: Lilang Wu ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020

เสียง

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9884: Yu Zhou(@yuzhou6666) จาก 小鸡帮 ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2020-9889: JunDong Xie และ XingWei Li จาก Ant-financial Light-Year Security Lab

เสียง

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9888: JunDong Xie และ XingWei Li จาก Ant-financial Light-Year Security Lab

CVE-2020-9890: JunDong Xie และ XingWei Li จาก Ant-financial Light-Year Security Lab

CVE-2020-9891: JunDong Xie และ XingWei Li จาก Ant-financial Light-Year Security Lab

Clang

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: Clang อาจสร้างโค้ดสำหรับเครื่องซึ่งไม่ได้บังคับใช้โค้ดการตรวจสอบสิทธิ์พอยเตอร์ที่ถูกต้อง

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2020-9870: Samuel Groß จาก Google Project Zero

CoreAudio

มีให้สำหรับ: macOS High Sierra 10.13.6

ผลกระทบ: ปัญหาบัฟเฟอร์ล้นอาจส่งผลให้เกิดการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9866: Yu Zhou จาก 小鸡帮 และ Jundong Xie จาก Ant-financial Light-Year Security Lab

CoreFoundation

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถดูข้อมูลที่สำคัญของผู้ใช้ได้

คำอธิบาย: มีปัญหาในการจัดการตัวแปรสภาพแวดล้อม ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2020-9934: นักวิจัยนิรนาม

CoreGraphics

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9883: Mickey Jin จาก Trend Micro

เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020

ตัวรายงานการล่ม

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถแยกตัวออกจาก Sandbox ได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วโดยลบรหัสที่มีความเสี่ยง

CVE-2020-9865: Zhuo Liang จาก Qihoo 360 Vulcan Team ที่ทำงานร่วมกับ 360 BugCloud

ไดรเวอร์กราฟิก

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9799: ABC Research s.r.o.

อัพเดทรายการเมื่อวันที่ 24 กรกฎาคม 2020

Heimdal

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกป้องข้อมูลให้ดียิ่งขึ้น

CVE-2020-9913: Cody Thomas จาก SpecterOps

ImageIO

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9871: Xingwei Lin จาก Ant-financial Light-Year Security Lab

CVE-2020-9872: Xingwei Lin จาก Ant-financial Light-Year Security Lab

CVE-2020-9936: Mickey Jin จาก Trend Micro

อัพเดทรายการเมื่อวันที่ 24 กรกฎาคม 2020

ImageIO

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9919: Mickey Jin จาก Trend Micro

เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020

ImageIO

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9876: Mickey Jin จาก Trend Micro

เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020

ImageIO

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9873: Xingwei Lin จาก Ant-financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin จาก Ant-financial Light-Year Security Lab

เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020

ไดรเวอร์กราฟิกของ Intel

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9908: Junzhi Lu(@pwn0rz) จาก Trend Micro

เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020

เคอร์เนล

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถล่วงล้ำเข้าไปในเครือข่ายที่ใช้งานอยู่ภายในอุโมงค์ VPN

คำอธิบาย: ปัญหาการกำหนดเส้นทางได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2019-14899: William J. Tolley, Beau Kujath และ Jedidiah R. Crandall

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-9904: Tielei Wang จาก Pangu Lab

เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-9924: Matt DeVore จาก Google

เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-9892: Andy Nguyen จาก Google

เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9863: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020

เมล

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-19906

อัพเดทรายการเมื่อวันที่ 24 กรกฎาคม 2020

เมล

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: เซิร์ฟเวอร์อีเมลที่เป็นอันตรายอาจเขียนทับไฟล์อีเมลโดยอำเภอใจ

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2020-9920: YongYue Wang AKA BigChan จาก Hillstone Networks AF Team

เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020

ข้อความ

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: ผู้ใช้ที่ถูกลบออกจากกลุ่ม·iMessage สามารถกลับเข้าร่วมกลุ่มได้

คำอธิบาย: มีปัญหาในการจัดการ Tapback ของ iMessage ปัญหาได้รับการแก้ไขด้วยการตรวจสอบยืนยันเพิ่มเติมแล้ว

CVE-2020-9885: นักวิจัยนิรนาม, Suryansh Mansharamani จาก WWP High School North (medium.com/@suryanshmansha)

รุ่น I/O

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9878: Holger Fuhrmannek จาก Deutsche Telekom Security

รุ่น I/O

มีให้สำหรับ: macOS Mojave 10.14.6

ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9880: Holger Fuhrmannek จาก Deutsche Telekom Security

เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020

รุ่น I/O

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.5

ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9878: Holger Fuhrmannek จาก Deutsche Telekom Security

CVE-2020-9881: Holger Fuhrmannek จาก Deutsche Telekom Security

CVE-2020-9882: Holger Fuhrmannek จาก Deutsche Telekom Security

เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020

rsync

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเขียนทับไฟล์ที่มีอยู่ได้

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น

CVE-2014-9512: gaojianfeng

เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020

ความปลอดภัย

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2020-9864: Alexander Holodny

ความปลอดภัย

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

ผลกระทบ: ผู้โจมตีอาจสามารถเลียนแบบเว็บไซต์ที่เชื่อถือได้ โดยใช้เนื้อหาหลักที่ใช้ร่วมกันสำหรับใบรับรองที่เพิ่มโดยผู้ดูแลระบบ

คำอธิบาย: มีปัญหาการตรวจสอบใบรับรองเมื่อประมวลผลใบรับรองที่เพิ่มโดยผู้ดูแลระบบ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบใบรับรองให้ดียิ่งขึ้น

CVE-2020-9868: Brian Wolff จาก Asana

เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020

ความปลอดภัย

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2020-9854: Ilias Morad (A2nkF)

เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020

Vim

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-20807: Guilherme de Almeida Suckevicz

Wi-Fi

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดการยุติระบบโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9918: Jianjun Dai จาก 360 Alpha Lab ที่ทำงานร่วมกับ 360 BugCloud (bugcloud.360.cn)

Wi-Fi

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9899: Yu Wang จาก Didi Research America

เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020

Wi-Fi

มีให้สำหรับ: macOS Catalina 10.15.5

ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดการยุติระบบโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9906: Ian Beer จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 24 กรกฎาคม 2020

คำขอบคุณพิเศษ

เครื่องเสียงแบบ USB

เราขอขอบคุณสำหรับความช่วยเหลือจาก Andy Davis จาก NCC Group

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: