เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Catalina 10.15.7, รายการอัพเดทความปลอดภัย 2020-005 High Sierra, รายการอัพเดทความปลอดภัย 2020-005 Mojave

เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ macOS Catalina 10.15.7, รายการอัพเดทความปลอดภัย 2020-005 High Sierra, รายการอัพเดทความปลอดภัย 2020-005 Mojave

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Catalina 10.15.7, รายการอัพเดทความปลอดภัย 2020-005 High Sierra, รายการอัพเดทความปลอดภัย 2020-005 Mojave

เปิดตัวเมื่อวันที่ 24 กันยายน 2020

CoreAudio

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: การเล่นไฟล์เสียงที่ประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9954: Francis ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, JunDong Xie จาก Ant Group Light-Year Security Lab

เพิ่มรายการเมื่อวันที่ 12 พฤศจิกายน 2020

ค้นหาของฉัน

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถอ่านข้อมูลที่อ่อนไหวเกี่ยวกับตำแหน่งที่ตั้งได้

คำอธิบาย: มีปัญหาการเข้าถึงไฟล์ในไฟล์โฟลเดอร์เริ่มต้นบางไฟล์ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2020-9986: Tim Kornhuber, Milan Stute และ Alexander Heinrich จาก TU Darmstadt, Secure Mobile Networking Lab

เพิ่มรายการเมื่อวันที่ 12 พฤศจิกายน 2020

ImageIO

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9961: Xingwei Lin จาก Ant Security Light-Year Lab

อัพเดทรายการเมื่อวันที่ 12 พฤศจิกายน 2020

libxml2

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9981: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 12 พฤศจิกายน 2020 อัพเดทรายการเมื่อวันที่ 16 มีนาคม 2021

เมล

มีให้สำหรับ: macOS High Sierra 10.13.6

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเปลี่ยนแปลงสถานะแอพพลิเคชั่นโดยไม่คาดคิดได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2020-9941: Fabian Ising จาก FH Münster University of Applied Sciences และ Damian Poddebniak จาก FH Münster University of Applied Sciences

รุ่น I/O

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-10011: Aleksandar Nikolic จาก Cisco Talos

CVE-2020-9973: Aleksandar Nikolic จาก Cisco Talos

อัพเดทรายการเมื่อวันที่ 12 พฤศจิกายน 2020

รุ่น I/O

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15

ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-13520: Aleksandar Nikolic จาก Cisco Talos

เพิ่มรายการเมื่อวันที่ 12 พฤศจิกายน 2020

Sandbox

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจเข้าถึงไฟล์ที่มีการจำกัดสิทธิ์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2020-9968: Adam Chester (@_xpn_) จาก TrustedSec

อัพเดทรายการเมื่อวันที่ 12 พฤศจิกายน 2020

Wi-Fi

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-10013: Yu Wang จาก Didi Research America

เพิ่มรายการเมื่อวันที่ 16 มีนาคม 2021

คำขอบคุณพิเศษ

บลูทูธ

เราขอขอบคุณสำหรับความช่วยเหลือจาก Andy Davis จาก NCC Group

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: