macOS Catalina 10.15.3, Güvenlik Güncellemesi 2020-001 Mojave, Güvenlik Güncellemesi 2020-001 High Sierra'nın güvenlik içeriği hakkında

Bu belgede macOS Catalina 10.15.3, Güvenlik Güncellemesi 2020-001 Mojave, Güvenlik Güncellemesi 2020-001 High Sierra'nın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

macOS Catalina 10.15.3, Güvenlik Güncellemesi 2020-001 Mojave, Güvenlik Güncellemesi 2020-001 High Sierra

Yayınlanma tarihi: 28 Ocak 2020

AnnotationKit

İlgili sürüm: macOS Catalina 10.15.2

Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-3877: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)

apache_mod_php

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2

Etki: PHP'de birden çok güvenlik açığı

Açıklama: PHP 7.3.11 sürümüne güncelleme yapılarak birden fazla sorun giderildi.

CVE-2019-11043

Ses

İlgili sürüm: macOS Catalina 10.15.2

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3857: Qihoo 360 Vulcan Team'den Zhuo Liang

autofs

İlgili sürüm: macOS Catalina 10.15.2

Etki: Saldırgan tarafından kontrol edilen bir NFS bağlantısındaki dosyaları arama ve açma işlemleri Gatekeeper'ı atlayabilir

Açıklama: Bir ağ paylaşımı aracılığıyla bağlanan dosyalar üzerinde Gatekeeper tarafından uygulanan ek denetimlerle bu sorun giderildi.

CVE-2020-3866: Jose Castro Almeida (@HackerOn2Wheels) ve René Kroka (@rene_kroka)

CoreBluetooth

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 ve macOS Catalina 10.15.2

Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3848: Qihoo 360 Alpha Lab'den Jianjun Dai

CVE-2020-3849: Qihoo 360 Alpha Lab'den Jianjun Dai

CVE-2020-3850: Qihoo 360 Alpha Lab'den Jianjun Dai

Giriş güncellenme tarihi: 3 Şubat 2020

CoreBluetooth

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 ve macOS Catalina 10.15.2

Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-3847: Qihoo 360 Alpha Lab'den Jianjun Dai

Giriş güncellenme tarihi: 3 Şubat 2020

Çökme Raporlayıcı

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 ve macOS Catalina 10.15.2

Etki: Kötü amaçlı bir uygulama, sınırlanmış dosyalara erişebilir

Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2020-3835: Csaba Fitzl (@theevilbit)

Görüntü İşleme

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2

Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasının görüntülenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3827: Google Project Zero'dan Samuel Groß

ImageIO

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-3826: Google Project Zero'dan Samuel Groß

CVE-2020-3870

CVE-2020-3878: Google Project Zero'dan Samuel Groß

Intel Grafik Sürücüsü

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.2

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3845: Qihoo 360 Vulcan Team'den Zhuo Liang

IOAcceleratorFamily

İlgili sürüm: macOS Catalina 10.15.2

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3837: Google Project Zero'dan Brandon Azad

IPSec

İlgili sürüm: macOS Catalina 10.15.2

Etki: Kötü amaçla oluşturulmuş bir racoon konfigürasyon dosyasının yüklenmesi, rastgele kod yürütmeye neden olabilir

Açıklama: Racoon konfigürasyon dosyalarının işlenmesinde bir off-by-one sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

CVE-2020-3840: @littlelailo

Çekirdek

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2020-3875: Google Project Zero'dan Brandon Azad

Çekirdek

İlgili sürüm: macOS Catalina 10.15.2

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2020-3872: Cognite'tan Haakon Garseg Mørk ve Cim Stordal

Çekirdek

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2

Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2020-3853: Google Project Zero'dan Brandon Azad

Çekirdek

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2

Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir

Açıklama: Bellek yönetimi iyileştirilerek bir erişim sorunu giderildi.

CVE-2020-3836: Google Project Zero'dan Brandon Azad

Çekirdek

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3842: Ned Williamson (Google Project Zero ile)

CVE-2020-3871: Corellium

libxml2

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 ve macOS Catalina 10.15.2

Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2020-3846: Ranier Vilela

Giriş güncellenme tarihi: 3 Şubat 2020

libxpc

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2

Etki: Kötü amaçlarla oluşturulmuş bir dizenin işlenmesi yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3856: Google Project Zero'dan Ian Beer

libxpc

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-3829: Google Project Zero'dan Ian Beer

PackageKit

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2

Etki: Kötü amaçlı bir uygulama rastgele dosyaların üzerine yazabilir

Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2020-3830: Csaba Fitzl (@theevilbit)

Güvenlik

İlgili sürüm: macOS Catalina 10.15.2

Etki: Kötü amaçlı bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-3854: Hamburg Üniversitesi, Security in Distributed Systems Group'tan Jakob Rieck (@0xdead10cc) ve Maximilian Blochberger

Giriş güncellenme tarihi: 3 Şubat 2020

sudo

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2

Etki: Belirli konfigürasyonlar yerel bir saldırganın rastgele kod yürütmesine izin verebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2019-18634: Apple

Sistem

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Etki: Kötü amaçlı bir uygulama rastgele dosyaların üzerine yazabilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2020-3855: Csaba Fitzl (@theevilbit)

Wi-Fi

İlgili sürüm: macOS Catalina 10.15.2

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2020-3839: Theori'den s0ngsari ve Seoul Ulusal Üniversitesinden Lee (Trend Micro'nun Zero Day Initiative programıyla)

Wi-Fi

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2

Etki: Uzaktaki bir saldırgan, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği bozabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3843: Google Project Zero'dan Ian Beer

wifivelocityd

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 ve macOS Catalina 10.15.2

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Ek teşekkür listesi

Fotoğraf Saklama

UC Berkeley'den Salman Husain'e yardımı için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: