เกี่ยวกับเนื้อหาความปลอดภัยของ macOS Big Sur 11.1, รายการอัพเดทความปลอดภัย 2020-001 Catalina, รายการอัพเดทความปลอดภัย 2020-007 Mojave

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS Big Sur 11.1, รายการอัพเดทความปลอดภัย 2020-001 Catalina, รายการอัพเดทความปลอดภัย 2020-007 Mojave

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Big Sur 11.1, รายการอัพเดทความปลอดภัย 2020-001 Catalina, รายการอัพเดทความปลอดภัย 2020-007 Mojave

เปิดตัวเมื่อวันที่ 14 ธันวาคม 2020

AMD

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27914: Yu Wang จาก Didi Research America

CVE-2020-27915: Yu Wang จาก Didi Research America

App Store

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2020-27903: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab

AppleGraphicsControl

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2020-27941: shrek_wzw

AppleMobileFileIntegrity

มีให้สำหรับ: macOS Big Sur 11.0.1

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถบายพาสการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2020-29621: Wojciech Reguła (@_r3ggi) จาก SecuRing

เสียง

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27910: JunDong Xie และ XingWei Lin จาก Ant Security Light-Year Lab

เสียง

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9943: JunDong Xie จาก Ant Security Light-Year Lab

เสียง

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9944: JunDong Xie จาก Ant Security Light-Year Lab

เสียง

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27916: JunDong Xie จาก Ant Security Light-Year Lab

บลูทูธ

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือเกิดการล่มของฮีพ

คำอธิบาย: ปัญหาการล้นของจำนวนเต็มจำนวนมากได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27906: Zuozhi Fan (@pattern_F_) จาก Ant Group Tianqiong Security Lab

CoreAudio

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-27948: JunDong Xie จาก Ant Security Light-Year Lab

CoreAudio

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9960: JunDong Xie และ XingWei Lin จาก Ant Security Light-Year Lab

CVE-2020-27908: JunDong Xie และ XingWei Lin จาก Ant Security Light-Year Lab

CoreAudio

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-10017: Francis ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, JunDong Xie จาก Ant Security Light-Year Lab

CoreText

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-27922: Mickey Jin จาก Trend Micro

FontParser

มีให้สำหรับ: macOS Big Sur 11.0.1

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-27946: Mateusz Jurczyk จาก Google Project Zero

FontParser

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

FontParser

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27952: นักวิจัยนิรนาม, Mickey Jin และ Junzhi Lu จาก Trend Micro

FontParser

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9956: Mickey Jin และ Junzhi Lu จาก Trend Micro Mobile Security Research Team ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

FontParser

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27931: Apple

CVE-2020-27943: Mateusz Jurczyk จาก Google Project Zero

CVE-2020-27944: Mateusz Jurczyk จาก Google Project Zero

CVE-2020-29624: Mateusz Jurczyk จาก Google Project Zero

อัพเดทรายการเมื่อวันที่ 22 ธันวาคม 2020

Foundation

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านไฟล์ได้โดยอำเภอใจ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-10002: James Hutchins

ไดรเวอร์กราฟิก

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27947: ABC Research s.r.o.ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

ไดรเวอร์กราฟิก

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-29612: ABC Research s.r.o. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

HomeKit

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถเปลี่ยนแปลงสถานะแอพพลิเคชั่นโดยไม่คาดคิดได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการกระจายการตั้งค่าให้ดียิ่งขึ้น

CVE-2020-9978: Luyi Xing, Dongfang Zhao และ Xiaofeng Wang จาก Indiana University Bloomington, Yan Jia จาก Xidian University และ University of Chinese Academy of Sciences และ Bin Yuan จาก HuaZhong University of Science and Technology

ImageIO

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2020-27939: Xingwei Lin จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2020

ImageIO

มีให้สำหรับ: macOS Big Sur 11.0.1

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-29616: zhouat ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

ImageIO

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27924: Lei Sun

CVE-2020-29618: Xingwei Lin จาก Ant Security Light-Year Lab

ImageIO

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-29611: Alexandru-Vlad Niculae ที่ทำงานร่วมกับ Google Project Zero

อัพเดทรายการเมื่อวันที่ 17 ธันวาคม 2020

ImageIO

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

ผลกระทบ: การประมวลผลรูปภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การล่มของฮีพ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-29617: Xingwei Lin จาก Ant Security Light-Year Lab

CVE-2020-29619: Xingwei Lin จาก Ant Security Light-Year Lab

ImageIO

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27912: Xingwei Lin จาก Ant Security Light-Year Lab

CVE-2020-27923: Lei Sun

การประมวลผลภาพ

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27919: Hou JingYi (@hjy79425575) จาก Qihoo 360 CERT, Xingwei Lin จาก Ant Security Light-Year Lab

ไดรเวอร์กราฟิกของ Intel

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-10015: ABC Research s.r.o. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2020-27897: Xiaolong Bai และ Min (Spark) Zheng จาก Alibaba Inc. และ Luyi Xing จาก Indiana University Bloomington

ไดรเวอร์กราฟิกของ Intel

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-27907: ABC Research s.r.o. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-9974: Tommy Muir (@Muirey03)

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-10016: Alex Helie

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดการยุติระบบโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9975: Tielei Wang จาก Pangu Lab

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-27921: Linus Henze (pinauten.de)

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสร้างการเปลี่ยนแปลงที่ไม่คาดคิดในหน่วยความจำที่เป็นของกระบวนการซึ่งถูกติดตามโดย DTrace

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการตรวจสอบเพื่อป้องกันการกระทำที่ไม่ได้รับอนุญาต

CVE-2020-27949: Steffen Klee (@_kleest) จาก TU Darmstadt, Secure Mobile Networking Lab

เคอร์เนล

มีให้สำหรับ: macOS Big Sur 11.0.1

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น

CVE-2020-29620: Csaba Fitzl (@theevilbit) จาก Offensive Security

libxml2

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27911: พบโดย OSS-Fuzz

libxml2

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-27920: พบโดย OSS-Fuzz

libxml2

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-27926: พบโดย OSS-Fuzz

libxpc

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถแยกตัวออกจาก Sandbox ได้

คำอธิบาย: ปัญหาการแยกวิเคราะห์ที่เกิดขึ้นในการจัดการกับพาธไดเรกทอรีได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบพาธให้ดียิ่งขึ้น

CVE-2020-10014: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab

การบันทึก

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2020-10010: Tommy Muir (@Muirey03)

รุ่น I/O

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-13524: Aleksandar Nikolic จาก Cisco Talos

รุ่น I/O

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การเปิดไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-10004: Aleksandar Nikolic จาก Cisco Talos

NSRemoteView

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2020-27901: Thijs Alkemade จาก Computest Research Division

การจัดการพลังงาน

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-10007: singi@theori ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative

Quick Look

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: การประมวลผลเอกสารที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการโจมตีแบบส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2020-10012: Heige จาก KnownSec 404 Team (knownsec.com) และ Bo Qu จาก Palo Alto Networks (paloaltonetworks.com)

Ruby

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถปรับเปลี่ยนระบบไฟล์ได้

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2020-27896: นักวิจัยนิรนาม

การตั้งค่าระบบ

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-10009: Thijs Alkemade จาก Computest Research Division

WebRTC

มีให้สำหรับ: macOS Big Sur 11.0.1

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-15969: นักวิจัยนิรนาม

Wi-Fi

มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7

ผลกระทบ: ผู้โจมตีอาจสามารถบายพาส Managed Frame Protection ได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-27898: Stephan Marais จาก University of Johannesburg

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: