macOS Catalina 10.15.3, Güvenlik Güncellemesi 2020-001 Mojave, Güvenlik Güncellemesi 2020-001 High Sierra'nın güvenlik içeriği hakkında
Bu belgede macOS Catalina 10.15.3, Güvenlik Güncellemesi 2020-001 Mojave, Güvenlik Güncellemesi 2020-001 High Sierra'nın güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
macOS Catalina 10.15.3, Güvenlik Güncellemesi 2020-001 Mojave, Güvenlik Güncellemesi 2020-001 High Sierra
AnnotationKit
İlgili sürüm: macOS Catalina 10.15.2
Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-3877: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)
apache_mod_php
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2
Etki: PHP'de birden çok güvenlik açığı
Açıklama: PHP 7.3.11 sürümüne güncelleme yapılarak birden fazla sorun giderildi.
CVE-2019-11043
Ses
İlgili sürüm: macOS Catalina 10.15.2
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3857: Qihoo 360 Vulcan Team'den Zhuo Liang
autofs
İlgili sürüm: macOS Catalina 10.15.2
Etki: Saldırgan tarafından kontrol edilen bir NFS bağlantısındaki dosyaları arama ve açma işlemleri Gatekeeper'ı atlayabilir
Açıklama: Bir ağ paylaşımı aracılığıyla bağlanan dosyalar üzerinde Gatekeeper tarafından uygulanan ek denetimlerle bu sorun giderildi.
CVE-2020-3866: Jose Castro Almeida (@HackerOn2Wheels) ve René Kroka (@rene_kroka)
CoreBluetooth
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 ve macOS Catalina 10.15.2
Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3848: Qihoo 360 Alpha Lab'den Jianjun Dai
CVE-2020-3849: Qihoo 360 Alpha Lab'den Jianjun Dai
CVE-2020-3850: Qihoo 360 Alpha Lab'den Jianjun Dai
CoreBluetooth
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 ve macOS Catalina 10.15.2
Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-3847: Qihoo 360 Alpha Lab'den Jianjun Dai
Çökme Raporlayıcı
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 ve macOS Catalina 10.15.2
Etki: Kötü amaçlı bir uygulama, sınırlanmış dosyalara erişebilir
Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2020-3835: Csaba Fitzl (@theevilbit)
crontab
İlgili sürüm: macOS Catalina 10.15.2
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3863: James Hutchins
Found in Apps
İlgili sürüm: macOS Catalina 10.15.2
Etki: Şifrelenmiş verilere uygunsuz bir şekilde erişilebilir
Açıklama: Siri Önerileri'nin şifrelenmiş verilere erişimiyle ilgili bir sorun vardı. Şifrelenmiş verilere erişim sınırlandırarak bu sorun giderildi.
CVE-2020-9774: Ulusal Standartlar ve Teknoloji Enstitüsü'nden Bob Gendler
Görüntü İşleme
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2
Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasının görüntülenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3827: Google Project Zero'dan Samuel Groß
ImageIO
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 ve macOS Catalina 10.15.2
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-3826: Google Project Zero'dan Samuel Groß
CVE-2020-3870
CVE-2020-3878: Google Project Zero'dan Samuel Groß
CVE-2020-3880: Google Project Zero'dan Samuel Groß
Intel Grafik Sürücüsü
İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.2
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3845: Qihoo 360 Vulcan Team'den Zhuo Liang
IOAcceleratorFamily
İlgili sürüm: macOS Catalina 10.15.2
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3837: Google Project Zero'dan Brandon Azad
IOThunderboltFamily
İlgili sürüm: macOS Catalina 10.15.2
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2020-3851: Alibaba Inc. şirketinden Xiaolong Bai ve Min (Spark) Zheng, Bloomington Indiana Üniversitesi'nden Luyi Xing
IPSec
İlgili sürüm: macOS Catalina 10.15.2
Etki: Kötü amaçla oluşturulmuş bir racoon konfigürasyon dosyasının yüklenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Racoon konfigürasyon dosyalarının işlenmesinde bir "artı/eksi 1 sapma" (off-by-one) sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-2020-3840: @littlelailo
Çekirdek
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2020-3875: Google Project Zero'dan Brandon Azad
Çekirdek
İlgili sürüm: macOS Catalina 10.15.2
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2020-3872: Cognite'tan Haakon Garseg Mørk ve Cim Stordal
Çekirdek
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2020-3853: Google Project Zero'dan Brandon Azad
Çekirdek
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2
Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir
Açıklama: Bellek yönetimi iyileştirilerek bir erişim sorunu giderildi.
CVE-2020-3836: Google Project Zero'dan Brandon Azad
Çekirdek
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3842: Ned Williamson (Google Project Zero ile)
CVE-2020-3871: Corellium
libxml2
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 ve macOS Catalina 10.15.2
Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2020-3846: Ranier Vilela
libxpc
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2
Etki: Kötü amaçlarla oluşturulmuş bir dizenin işlenmesi yığın bozulmasına (heap corruption) neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3856: Google Project Zero'dan Ian Beer
libxpc
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-3829: Google Project Zero'dan Ian Beer
PackageKit
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2
Etki: Kötü amaçlı bir uygulama rastgele dosyaların üzerine yazabilir
Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2020-3830: Csaba Fitzl (@theevilbit)
Güvenlik
İlgili sürüm: macOS Catalina 10.15.2
Etki: Kötü amaçlı bir uygulama, korumalı alanını ihlal edebilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-3854: Hamburg Üniversitesi, Security in Distributed Systems Group'tan Jakob Rieck (@0xdead10cc) ve Maximilian Blochberger
sudo
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2
Etki: Belirli konfigürasyonlar yerel bir saldırganın rastgele kod yürütmesine izin verebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2019-18634: Apple
Sistem
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Etki: Kötü amaçlı bir uygulama rastgele dosyaların üzerine yazabilir
Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.
CVE-2020-3855: Csaba Fitzl (@theevilbit)
Wi-Fi
İlgili sürüm: macOS Catalina 10.15.2
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2020-3839: Theori'den s0ngsari ve Seoul Ulusal Üniversitesinden Lee (Trend Micro'nun Zero Day Initiative programıyla)
Wi-Fi
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 ve macOS Catalina 10.15.2
Etki: Uzaktaki bir saldırgan, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği bozabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3843: Google Project Zero'dan Ian Beer
wifivelocityd
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Ek teşekkür listesi
Fotoğraf Saklama
UC Berkeley'den Allison Husain'e yardımı için teşekkür ederiz.
SharedFileList
Jamf'ten Patrick Wardle'a yardımı için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.