macOS Big Sur 11.0.1'in güvenlik içeriği hakkında

Bu belgede, macOS Big Sur 11.0.1'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

macOS Big Sur 11.0.1

Yayınlanma tarihi: 12 Kasım 2020

App Store

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2020-27903: Tencent Security Xuanwu Lab'den Zhipeng Huo (@R3dF09)

Ses

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-27910: Ant Security Light-Year Lab'den JunDong Xie ve XingWei Lin

Ses

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-27916: Ant Security Light-Year Lab'den JunDong Xie

Ses

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-9943: Ant Group Light-Year Security Lab'den JunDong Xie

Ses

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-9944: Ant Group Light-Year Security Lab'den JunDong Xie

Bluetooth

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden fazla tam sayı taşması sorunu giderildi.

CVE-2020-27906: Ant Group Tianqiong Security Lab'den Zuozhi Fan (@pattern_F_)

CoreAudio

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-10017: Francis (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den JunDong Xie

CoreCapture

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-9949: Proteas

CoreGraphics

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-9883: anonim bir araştırmacı, Trend Micro'dan Mickey Jin

Çökme Raporlayıcı

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: Sembolik bağlantıların yol doğrulama mantığında bir sorun vardı. Yol temizleme işlemi iyileştirilerek bu sorun giderildi.

CVE-2020-10003: Leviathan'dan Tim Michaud (@TimGMichaud)

CoreText

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-9999: Trend Micro'dan Mickey Jin ve Junzhi Lu

Disk Görüntüleri

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Finder

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kullanıcılar, dosyaların hangi konumdan indirildiğini gösteren meta verileri kaldıramayabilir

Açıklama: Ek kullanıcı denetimleriyle bu sorun giderildi.

CVE-2020-27894: Shuggr'dan (shuggr.com) Manuel Trezza

FontParser

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi rastgele kod yürütülmesine neden olabilir. Apple, bu sorundan kötü amaçlı olarak yararlanıldığına dair raporlardan haberdardır.

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-27930: Google Project Zero

FontParser

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-27927: Ant Security Light-Year Lab'den Xingwei Lin

Foundation

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Yerel bir kullanıcı rastgele dosyaları okuyabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-10002: James Hutchins

ImageIO

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-27912: Ant Security Light-Year Lab'den Xingwei Lin

ImageIO

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-9876: Trend Micro'dan Mickey Jin

Çekirdek

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek bozulmasına neden olan bir mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2020-27904: Ant Group Tianqong Security Lab'den Zuozhi Fan (@pattern_F_)

Çekirdek

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, VPN tünelindeki etkin bağlantılara sızabilir

Açıklama: Sınırlamalar iyileştirilerek bir yönlendirme sorunu giderildi.

CVE-2019-14899: William J. Tolley, Beau Kujath ve Jedidiah R. Crandall

Çekirdek

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlı bir uygulama, çekirdek belleğini açığa çıkarabilir. Apple, bu sorundan kötü amaçlı olarak yararlanıldığına dair raporlardan haberdardır.

Açıklama: Bir bellek ilklendirme sorunu giderildi.

CVE-2020-27950: Google Project Zero

Çekirdek

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-9974: Tommy Muir (@Muirey03)

Çekirdek

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-10016: Alex Helie

Çekirdek

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir. Apple, bu sorundan kötü amaçlı olarak yararlanıldığına dair raporlardan haberdardır.

Açıklama: Durumun işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2020-27932: Google Project Zero

libxml2

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-27917: OSS-Fuzz tarafından bulundu

libxml2

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2020-27911: OSS-Fuzz tarafından bulundu

libxpc

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlı bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Yol doğrulaması iyileştirilerek dizin yollarının işlenmesindeki bir ayrıştırma sorunu giderildi.

CVE-2020-10014: Tencent Security Xuanwu Lab'den Zhipeng Huo (@R3dF09)

Günlük

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2020-10010: Tommy Muir (@Muirey03)

Mail

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Uzaktaki bir saldırgan, uygulama durumunu beklenmedik şekilde değiştirebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2020-9941: FH Münster Üniversitesi Uygulamalı Bilimler Fakültesinden Fabian Ising ve FH Münster Üniversitesi Uygulamalı Bilimler Fakültesinden Damian Poddebniak

Mesajlar

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Yerel bir kullanıcı, başka bir kullanıcının silinmiş mesajlarını bulabilir

Açıklama: Silme işlemi iyileştirilerek sorun giderildi.

CVE-2020-9988: Hollanda'dan William Breuer

CVE-2020-9989: von Brunn Media

Model Giriş/Çıkışı

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir USD dosyasının işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-13524: Cisco Talos'tan Aleksandar Nikolic

Model Giriş/Çıkışı

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir dosyayı açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-10004: Cisco Talos'tan Aleksandar Nikolic

NetworkExtension

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlı bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-9996: Trend Micro iCore Team'den Zhiwei Yuan, Trend Micro'dan Junzhi Lu ve Mickey Jin

NSRemoteView

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlı bir uygulama, erişim izninin olmadığı dosyaları önizleyebilir

Açıklama: Anlık görüntülerin işlenmesinde bir sorun vardı. İzin mantığı iyileştirilerek bu sorun giderildi.

CVE-2020-27900: Computest Araştırma Birimi'nden Thijs Alkemade

PCRE

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: PCRE'de birden fazla sorun

Açıklama: Yazılım, 8.44 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2019-20838

CVE-2020-14155

Güç Yönetimi

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-10007: singi@theori (Trend Micro'nun Zero Day Initiative programıyla)

python

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Bir kaynağa ait olan çerezler başka bir kaynağa gönderilebilir

Açıklama: Mantık iyileştirilerek birden fazla sorun giderildi.

CVE-2020-27896: anonim bir araştırmacı

Göz At

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlı bir uygulama, bilgisayarda bulunan dosyaların varlığını belirleyebilir

Açıklama: Simge önbelleklerinin işlenmesi iyileştirilerek sorun giderildi.

CVE-2020-9963: Offensive Security'den Csaba Fitzl (@theevilbit)

Göz At

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir belgenin işlenmesi siteler arası betik saldırısına neden olabilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2020-10012: KnownSec 404 Team'den (https://www.knownsec.com/) Heige ve Palo Alto Networks'ten (https://www.paloaltonetworks.com/) Bo Qu

Ruby

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Uzaktaki bir saldırgan, dosya sistemini değiştirebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2020-27896: anonim bir araştırmacı

Ruby

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Belirli JSON belgeleri ayrıştırılırken json gem, hedef sistemde rastgele nesneler oluşturmaya zorlanabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2020-10663: Jeremy Evans

Safari

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi adres çubuğu sahteciliğine neden olabilir

Açıklama: URL'lerin işlenmesinde adres sahteciliği sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2020-9945: Suma Soft Pvt. Ltd. Pune (Hindistan) şirketinden Narendra Bhati (@imnarendrabhati)

Safari

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlı bir uygulama, kullanıcının Safari'deki açık sekmelerini belirleyebilir

Açıklama: Yetki doğrulamasında bir doğrulama sorunu vardı. İşlem yetkisi doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2020-9977: Josh Parnham (@joshparnham)

Safari

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi adres çubuğu sahteciliğine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2020-9942: anonim bir araştırmacı, Rahul d Kankrale (servicenger.com), The City School, PAF Chapter'dan Rayyan Bijoora (@Bijoora), Tencent Security Xuanwu Lab'den Ruilin Yang, PT Telekomunikasi Indonesia (Persero) Tbk'den YoKo Kho (@YoKoAcc), OPPO ZIWU Security Lab'den Zhiyang Zeng (@Wester)

Korumalı Alan (Sandbox)

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Yerel bir kullanıcı, gizli kullanıcı bilgilerini görüntüleyebilir

Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.

CVE-2020-9969: SecuRing'den Wojciech Reguła (wojciechregula.blog)

SQLite

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2020-9991

SQLite

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir

Açıklama: Durum yönetimi iyileştirilerek bilgilerin açığa çıkması sorunu giderildi.

CVE-2020-9849

SQLite

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: SQLite'ta birden fazla sorun

Açıklama: SQLite'ın, 3.32.3 sürümüne güncellenmesiyle birden fazla sorun giderildi.

CVE-2020-15358

SQLite

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir SQL sorgusu, veri bozulmasına neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2020-13631

SQLite

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

SQLite

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-13630

Sistem Tercihleri

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-10009: Computest Research Division'dan Thijs Alkemade

WebKit

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-27918: anonim bir araştırmacı

Wi-Fi

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Saldırganlar, Yönetim Çerçevesi Koruması'nı (Managed Frame Protection) atlayabilir

Açıklama: Durumun işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2020-27898: Johannesburg Üniversitesinden Stephan Marais

Xsan

İlgili ürünler: Mac Pro (2013 ve sonraki modeller), MacBook Air (2013 ve sonraki modeller), MacBook Pro (2013 Sonu ve sonraki modeller), Mac mini (2014 ve sonraki modeller), iMac (2014 ve sonraki modeller), MacBook (2015 ve sonraki modeller), iMac Pro (tüm modeller)

Etki: Kötü amaçlı bir uygulama, sınırlanmış dosyalara erişebilir

Açıklama: Yetkiler iyileştirilerek bu sorun giderildi.

CVE-2020-10006: SecuRing'den Wojciech Reguła (@_r3ggi)

Ek teşekkür listesi

Ses

Ant-financial Light-Year Security Lab'den JunDong Xie ile XingWei Lin'e ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

Bluetooth

Darmstadt Teknik Üniversitesindeki Secure Mobile Networking Lab'den Dennis Heinze'ye (@ttdennis) yardımı için teşekkür ederiz.

Clang

Google Project Zero'dan Brandon Azad'a yardımı için teşekkür ederiz.

Core Konumu

Yiğit Can YILMAZ'a (@yilmazcanyigit) yardımı için teşekkür ederiz.

Dizin İzlencesi

SecuRing'den Wojciech Reguła'ya (@_r3ggi) yardımı için teşekkür ederiz.

iAP

NCC Group'tan Andy Davis'e yardımı için teşekkür ederiz.

Çekirdek

Google Project Zero'dan Brandon Azad'a ve Google'dan Stephen Röttger'e yardımları için teşekkür ederiz.

Oturum Açma Penceresi

Leidos'tan Rob Morton'a yardımı için teşekkür ederiz.

Fotoğraf Saklama

LimeHats'ten Paulos Yibelo'ya yardımı için teşekkür ederiz.

Göz At

Csaba Fitzl'e (@theevilbit) ve SecuRing'den Wojciech Reguła'ya (wojciechregula.blog) yardımları için teşekkür ederiz.

Safari

Suma Soft Pvt. Ltd. Pune (Hindistan) şirketinden Gabriel Corona'ya ve Narendra Bhati'ye (@imnarendrabhati) yardımları için teşekkür ederiz.

Güvenlik

Objective Development Software GmbH'den Christian Starkjohann'a yardımı için teşekkür ederiz.

Sistem Tercihleri

Offensive Security'den Csaba Fitzl'e (@theevilbit) yardımı için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: