macOS Catalina 10.15.4, Güvenlik Güncellemesi 2020-002 Mojave, Güvenlik Güncellemesi 2020-002 High Sierra'nın güvenlik içeriği hakkında
Bu belgede macOS Catalina 10.15.4, Güvenlik Güncellemesi 2020-002 Mojave, Güvenlik Güncellemesi 2020-002 High Sierra'nın güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
macOS Catalina 10.15.4, Güvenlik Güncellemesi 2020-002 Mojave, Güvenlik Güncellemesi 2020-002 High Sierra
Hesaplar
İlgili sürüm: macOS Catalina 10.15.3
Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-9772: UC Berkeley'den Allison Husain
Apple HSSPI Desteği
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3903: Qihoo 360 Nirvan Team'den Proteas
AppleGraphicsControl
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.
CVE-2020-3904: Qihoo 360 Nirvan Team'den Proteas
AppleMobileFileIntegrity
İlgili sürüm: macOS Catalina 10.15.3
Etki: Bir uygulama rastgele yetkiler kullanabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2020-3883: Linus Henze (pinauten.de)
Bluetooth
İlgili sürüm: macOS Catalina 10.15.3
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, Bluetooth trafiğini ele geçirebilir
Açıklama: Düşük entropili PRNG kullanımı ile ilgili bir sorun vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-2020-6616: Secure Mobile Networking Lab'den Jörn Tillmanns (@matedealer) ve Jiska Classen (@naehrdine)
Bluetooth
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-9853: Didi Research America'dan Yu Wang
Bluetooth
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Etki: Yerel bir kullanıcı, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği okuyabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-3907: Didi Research America'dan Yu Wang
CVE-2020-3908: Didi Research America'dan Yu Wang
CVE-2020-3912: Didi Research America'dan Yu Wang
CVE-2020-9779: Didi Research America'dan Yu Wang
Bluetooth
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3892: Didi Research America'dan Yu Wang
CVE-2020-3893: Didi Research America'dan Yu Wang
CVE-2020-3905: Didi Research America'dan Yu Wang
Bluetooth
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2019-8853: Qihoo 360 Alpha Lab'den Jianjun Dai
Arama Geçmişi
İlgili sürüm: macOS Catalina 10.15.3
Etki: Kötü amaçlı bir uygulama kullanıcının arama geçmişine erişebilir
Açıklama: Yeni bir yetki ile bu sorun giderildi.
CVE-2020-9776: Benjamin Randazzo (@____benjamin)
CoreBluetooth
İlgili sürüm: macOS Catalina 10.15.3
Etki: Uzaktaki bir saldırgan hassas kullanıcı bilgilerini sızdırabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-9828: Qihoo 360 Alpha Lab'den Jianjun Dai
CoreFoundation
İlgili sürüm: macOS Catalina 10.15.3
Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir
Açıklama: Bir izin sorunu vardı. İzin doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2020-3913: Avira Operations GmbH & Co. KG şirketinden Timo Christ
CoreText
İlgili sürüm: macOS Catalina 10.15.3
Etki: Kötü amaçlarla oluşturulmuş bir kısa mesajın işlenmesi uygulamada servis reddine neden olabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2020-9829: Aaron Perris (@aaronp613), anonim bir araştırmacı, anonim bir araştırmacı, Carlos S Tech, Sam's Lounge'dan Sam Menzies, Hindistan'daki Lovely Professional University'den Sufiyan Gouri, Arabic-Classroom.com'dan Suleman Hasan Rathor
CUPS
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3898: Security Research Labs'den (srlabs.de) Stephan Zeisberg (github.com/stze)
FaceTime
İlgili sürüm: macOS Catalina 10.15.3
Etki: Yerel bir kullanıcı hassas kullanıcı bilgilerini görüntüleyebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-3881: Technion - İsrail Teknoloji Enstitüsünden Yuval Ron, Amichai Shulman ve Eli Biham
Intel Grafik Sürücüsü
İlgili sürüm: macOS Catalina 10.15.3
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2020-3886: Proteas
Intel Grafik Sürücüsü
İlgili sürüm: macOS Catalina 10.15.3
Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleğin açığa çıkmasına neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bilgilerin açığa çıkması sorunu giderildi.
CVE-2019-14615: Hong Kong Bilim ve Teknoloji Üniversitesinden Wenjian HE, Hong Kong Bilim ve Teknoloji Üniversitesinden Wei Zhang, Hindistan - Goa Teknoloji Enstitüsünden Sharad Sinha ve North Carolina Üniversitesinden Sanjeev Das
IOHIDFamily
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2020-3919: F-Secure Consulting'den Alex Plaskett
IOThunderboltFamily
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2020-3851: Alibaba Inc. şirketinden Xiaolong Bai ve Min (Spark) Zheng, Bloomington Indiana Üniversitesinden Luyi Xing
iTunes
İlgili sürüm: macOS Catalina 10.15.3
Etki: Kötü amaçlı bir uygulama rastgele dosyaların üzerine yazabilir
Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.
CVE-2020-3896: Christoph Falta
Çekirdek
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2020-3914: WaCai şirketinden pattern-f (@pattern_F_)
Çekirdek
İlgili sürüm: macOS Catalina 10.15.3
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.
CVE-2020-9785: Qihoo 360 Nirvan Team'den Proteas
libxml2
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Etki: libxml2'de birden çok sorun
Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2020-3909: LGTM.com
CVE-2020-3911: OSS-Fuzz tarafından bulundu
libxml2
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3
Etki: libxml2'de birden çok sorun
Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2020-3910: LGTM.com
İlgili sürümler: macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Etki: Uzaktaki bir saldırgan rastgele JavaScript kodu yürütülmesine neden olabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir ekleme (injection) sorunu giderildi.
CVE-2020-3884: Apple
Yazdırma
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3
Etki: Kötü amaçlı bir uygulama rastgele dosyaların üzerine yazabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.
CVE-2020-3915: iDefense Labs (https://vcp.idefense.com/) ile çalışan anonim bir araştırmacı, HyungSeok Han (DaramG) @Theori (TrendMicro'nun Zero Day Initiative programıyla)
Safari
İlgili sürüm: macOS Catalina 10.15.3
Etki: Kullanıcının özel dolaşma etkinlikleri beklenmedik bir şekilde Ekran Süresi'ne kaydedilebilir
Açıklama: Resim içinde resim özelliğiyle video görüntüleyen sekmelerin işlenmesinde bir sorun vardı. Durumun işlenmesi iyileştirilerek sorun düzeltildi.
CVE-2020-9775: Andrian (@retroplasma), Marat Turaev, Marek Wawro (futurefinance.com) ve STO64 School Krakow Polonya'dan Sambor Wawro
Korumalı Alan (Sandbox)
İlgili sürüm: macOS Catalina 10.15.3
Etki: Bir kullanıcı, dosya sisteminin korumalı bölümlerine erişebilir
Açıklama: Yeni bir yetki ile bu sorun giderildi.
CVE-2020-9771: Offensive Security'den Csaba Fitzl (@theevilbit)
Korumalı Alan (Sandbox)
İlgili sürüm: macOS Catalina 10.15.3
Etki: Yerel bir kullanıcı hassas kullanıcı bilgilerini görüntüleyebilir
Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.
CVE-2020-3918: anonim bir araştırmacı, Outcourse Limited'den Augusto Alvarez
sudo
İlgili sürüm: macOS Catalina 10.15.3
Etki: Bir saldırgan, mevcut olmayan bir kullanıcı olarak komut çalıştırabilir
Açıklama: Sudo 1.8.31 sürümüne güncellenerek bu sorun giderildi.
CVE-2019-19232
sysdiagnose
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Etki: Bir uygulama bir sysdiagnose işlemi tetikleyebilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi
CVE-2020-9786: Seekintoo'dan (@seekintoo) Dayton Pidhirney (@_watbulb)
TCC
İlgili sürümler: macOS Mojave 10.14.6, macOS Catalina 10.15.3
Etki: Kötü amaçlarla oluşturulmuş bir uygulama, kod imzalama zorlamasını atlayabilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-3906: Jamf'ten Patrick Wardle
Time Machine
İlgili sürüm: macOS Catalina 10.15.3
Etki: Yerel bir kullanıcı rastgele dosyaları okuyabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-3889: Danish Cyber Defence şirketinden Lasse Trolle Borup
Vim
İlgili sürüm: macOS Catalina 10.15.3
Etki: Vim'de birden fazla sorun
Açıklama: Yazılım 8.1.1850 sürümüne güncellenerek birden fazla sorun giderildi.
CVE-2020-9769: LinkedIn'den Steve Hahn
WebKit
İlgili sürüm: macOS Catalina 10.15.3
Etki: Bazı web siteleri Safari Tercihlerinde görünmüyor olabilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-9787: Ryan Pickren (ryanpickren.com)
WebKit
İlgili sürüm: macOS Catalina 10.15.3
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası betik saldırısına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)
Ek teşekkür listesi
CoreText
Anonim bir araştırmacıya yardımı için teşekkür ederiz.
FireWire Ses
Alibaba Inc. şirketinden Xiaolong Bai ve Min (Spark) Zheng ile Bloomington Indiana Üniversitesinden Luyi Xing'e yardımları için teşekkür ederiz.
FontParser
Google Chrome'dan Matthew Denton'a yardımı için teşekkür ederiz.
Yükleyici
Virginia Tech'ten Pris Sears'a, UAL Yaratıcı Bilgi İşlem Enstitüsünden Tom Lynch'e, anonim bir araştırmacıya ve anonim bir araştırmacıya yardımları için teşekkür ederiz.
Install Framework Legacy
Virginia Tech'ten Pris Sears'a, UAL Yaratıcı Bilgi İşlem Enstitüsünden Tom Lynch'e ve anonim bir araştırmacıya yardımları için teşekkür ederiz.
LinkPresentation
Travis'e yardımı için teşekkür ederiz.
OpenSSH
Anonim bir araştırmacıya yardımı için teşekkür ederiz.
rapportd
Darmstadt Teknik Üniversitesinden Alexander Heinrich'e (@Sn0wfreeze) yardımı için teşekkür ederiz.
Sidecar
Rick Backley'e (@rback_sec) yardımı için teşekkür ederiz.
sudo
Giorgio Oppo'ya (linkedin.com/in/giorgio-oppo/) yardımı için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.