macOS Big Sur 11.1, Güvenlik Güncellemesi 2020-001 Catalina, Güvenlik Güncellemesi 2020-007 Mojave'nin güvenlik içeriği hakkında

Bu belgede macOS Big Sur 11.1, Güvenlik Güncellemesi 2020-001 Catalina, Güvenlik Güncellemesi 2020-007 Mojave'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

macOS Big Sur 11.1, Güvenlik Güncellemesi 2020-001 Catalina, Güvenlik Güncellemesi 2020-007 Mojave

Yayınlanma tarihi: 14 Aralık 2020

AMD

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-27914: Didi Research America'dan Yu Wang

CVE-2020-27915: Didi Research America'dan Yu Wang

AMD

İlgili sürüm: macOS Big Sur 11.0.1

Etki: Yerel bir kullanıcı, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği okuyabilir

Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan bir sınırların dışında okuma sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2020-27936: Didi Research America'dan Yu Wang

Giriş eklenme tarihi: 1 Şubat 2021

App Store

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2020-27903: Tencent Security Xuanwu Lab'den Zhipeng Huo (@R3dF09)

AppleGraphicsControl

İlgili sürümler: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Mantık iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2020-27941: shrek_wzw

AppleMobileFileIntegrity

İlgili sürüm: macOS Big Sur 11.0.1

Etki: Kötü amaçlı bir uygulama Gizlilik tercihlerini atlayabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2020-29621: SecuRing'den Wojciech Reguła (@_r3ggi)

Ses

İlgili sürüm: macOS Big Sur 11.0.1

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi sınırlandırılmış belleğin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-29610: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 16 Mart 2021

Ses

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-27910: Ant Security Light-Year Lab'den JunDong Xie ve XingWei Lin

Ses

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-9943: Ant Security Light-Year Lab'den JunDong Xie

Ses

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-9944: Ant Security Light-Year Lab'den JunDong Xie

Ses

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-27916: Ant Security Light-Year Lab'den JunDong Xie

Bluetooth

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden fazla tam sayı taşması sorunu giderildi.

CVE-2020-27906: Ant Group Tianqiong Security Lab'den Zuozhi Fan (@pattern_F_)

CoreAudio

İlgili sürümler: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-27948: Ant Security Light-Year Lab'den JunDong Xie

CoreAudio

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-27908: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den JunDong Xie ve Xingwei Lin

CVE-2020-9960: Ant Security Light-Year Lab'den JunDong Xie ve Xingwei Lin

Giriş güncellenme tarihi: 16 Mart 2021

CoreAudio

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-10017: Francis (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den JunDong Xie

CoreText

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-27922: Trend Micro'dan Mickey Jin

CUPS

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir giriş doğrulama sorunu giderildi.

CVE-2020-10001: China Mobile'dan Niky <kittymore83@gmail.com>

Giriş eklenme tarihi: 1 Şubat 2021

FontParser

İlgili sürüm: macOS Big Sur 11.0.1

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bilgilerin açığa çıkması sorunu giderildi.

CVE-2020-27946: Google Project Zero'dan Mateusz Jurczyk

FontParser

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

FontParser

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-27952: anonim bir araştırmacı, Trend Micro'dan Mickey Jin ve Junzhi Lu

FontParser

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-9956: Trend Micro Mobile Security Research Team'den Mickey Jin ve Junzhi Lu (Trend Micro'nun Zero Day Initiative programıyla)

FontParser

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Font dosyalarının işlenmesinde bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2020-27931: Apple

CVE-2020-27943: Google Project Zero'dan Mateusz Jurczyk

CVE-2020-27944: Google Project Zero'dan Mateusz Jurczyk

CVE-2020-29624: Google Project Zero'dan Mateusz Jurczyk

Giriş güncellenme tarihi: 22 Aralık 2020

FontParser

İlgili sürüm: macOS Big Sur 11.0.1

Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-29608: Ant Security Light-Year Lab'den Xingwei Lin

Giriş eklenme tarihi: 1 Şubat 2021

Foundation

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Yerel bir kullanıcı rastgele dosyaları okuyabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-10002: James Hutchins

Grafik Sürücüleri

İlgili sürümler: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-27947: ABC Research s.r.o. (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den Liu Long

Giriş güncellenme tarihi: 16 Mart 2021

Grafik Sürücüleri

İlgili sürümler: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-29612: ABC Research s.r.o. (Trend Micro'nun Zero Day Initiative programıyla)

HomeKit

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, uygulama durumunu beklenmedik bir şekilde değiştirebilir

Açıklama: Ayarların yayılması iyileştirilerek bu sorun giderildi.

CVE-2020-9978: Bloomington Indiana Üniversitesinden Luyi Xing, Dongfang Zhao ve Xiaofeng Wang; Çin Bilimler Akademisi Üniversitesi ve Xidian Üniversitesinden Yan Jia ve HuaZhong Bilim ve Teknoloji Üniversitesinden Bin Yuan

ImageIO

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.7

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2020-27939: Ant Security Light-Year Lab'den Xingwei Lin

CVE-2020-29625: Ant Security Light-Year Lab'den XingWei Lin

Giriş eklenme tarihi: 22 Aralık 2020, giriş güncellenme tarihi: 1 Şubat 2021

ImageIO

İlgili sürümler: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-29615: Ant Security Light-Year Lab'den Xingwei Lin

Giriş eklenme tarihi: 1 Şubat 2021

ImageIO

İlgili sürüm: macOS Big Sur 11.0.1

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-29616: zhouat (Trend Micro'nun Zero Day Initiative programıyla)

ImageIO

İlgili sürümler: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-27924: Lei Sun

CVE-2020-29618: Ant Security Light-Year Lab'den XingWei Lin

ImageIO

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Big Sur 11.0.1

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-29611: Google Project Zero ile birlikte çalışan Alexandru-Vlad Niculae

Giriş güncellenme tarihi: 17 Aralık 2020

ImageIO

İlgili sürümler: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-29617: Ant Security Light-Year Lab'den XingWei Lin

CVE-2020-29619: Ant Security Light-Year Lab'den XingWei Lin

ImageIO

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-27912: Ant Security Light-Year Lab'den Xingwei Lin

CVE-2020-27923: Lei Sun

Görüntü İşleme

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-27919: Qihoo 360 CERT'ten Hou JingYi (@hjy79425575), Ant Security Light-Year Lab'den Xingwei Lin

Intel Grafik Sürücüsü

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-10015: ABC Research s.r.o. (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2020-27897: Alibaba Inc. şirketinden Xiaolong Bai ve Min (Spark) Zheng, Bloomington Indiana Üniversitesinden Luyi Xing

Intel Grafik Sürücüsü

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-27907: ABC Research s.r.o. (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den Liu Long

Giriş güncellenme tarihi: 16 Mart 2021

Çekirdek

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-9974: Tommy Muir (@Muirey03)

Çekirdek

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-10016: Alex Helie

Çekirdek

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Uzaktaki bir saldırgan, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği bozabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Çekirdek

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-9975: Pangu Lab'den Tielei Wang

Çekirdek

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir yarış durumu giderildi.

CVE-2020-27921: Linus Henze (pinauten.de)

Çekirdek

İlgili sürümler: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Etki: Kötü amaçlı bir uygulama, DTrace tarafından izlenen işlemlere ait bellekte beklenmedik değişikliklere neden olabilir

Açıklama: Yetkisiz işlemlerin önlenmesine yönelik denetimler iyileştirilerek bu sorun giderildi.

CVE-2020-27949: Darmstadt Teknik Üniversitesindeki Secure Mobile Networking Lab'den Steffen Klee (@_kleest)

Çekirdek

İlgili sürüm: macOS Big Sur 11.0.1

Etki: Kötü amaçlı bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Yetkiler iyileştirilerek bu sorun giderildi.

CVE-2020-29620: Offensive Security'den Csaba Fitzl (@theevilbit)

libxml2

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2020-27911: OSS-Fuzz tarafından bulundu

libxml2

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-27920: OSS-Fuzz tarafından bulundu

libxml2

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-27926: OSS-Fuzz tarafından bulundu

libxpc

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlı bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Yol doğrulaması iyileştirilerek dizin yollarının işlenmesindeki bir ayrıştırma sorunu giderildi.

CVE-2020-10014: Tencent Security Xuanwu Lab'den Zhipeng Huo (@R3dF09)

Günlük

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2020-10010: Tommy Muir (@Muirey03)

Oturum Açma Penceresi

İlgili sürüm: macOS Big Sur 11.0.1

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, kimlik doğrulama politikasını atlayabilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2020-29633: Original Spin, LLC. şirketinden Jewel Lambert

Giriş eklenme tarihi: 1 Şubat 2021

Model Giriş/Çıkışı

İlgili sürüm: macOS Big Sur 11.0.1

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2020-29614: Topsec Alpha Lab'den ZhiWei Sun (@5n1p3r0010)

Giriş eklenme tarihi: 1 Şubat 2021

Model Giriş/Çıkışı

İlgili sürüm: macOS Catalina 10.15.7

Etki: Kötü amaçlarla oluşturulmuş bir USD dosyasını işlemek, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-13520: Cisco Talos'tan Aleksandar Nikolic

Giriş eklenme tarihi: 1 Şubat 2021

Model Giriş/Çıkışı

İlgili sürümler: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Etki: Kötü amaçlarla oluşturulmuş bir USD dosyasını işlemek, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2020-9972: Cisco Talos'tan Aleksandar Nikolic

Giriş eklenme tarihi: 1 Şubat 2021

Model Giriş/Çıkışı

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlarla oluşturulmuş bir USD dosyasının işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-13524: Cisco Talos'tan Aleksandar Nikolic

Model Giriş/Çıkışı

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlarla oluşturulmuş bir dosyayı açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-10004: Cisco Talos'tan Aleksandar Nikolic

NSRemoteView

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-27901: Computest Research Division'dan Thijs Alkemade

Güç Yönetimi

İlgili sürüm: macOS Big Sur 11.0.1

Etki: Kötü amaçlı bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-27938: Leviathan'dan Tim Michaud (@TimGMichaud)

Giriş eklenme tarihi: 1 Şubat 2021

Güç Yönetimi

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-10007: singi@theori (Trend Micro'nun Zero Day Initiative programıyla)

Göz At

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Kötü amaçlarla oluşturulmuş bir belgenin işlenmesi siteler arası betik saldırısına neden olabilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2020-10012: KnownSec 404 Team'den (knownsec.com) Heige ve Palo Alto Networks'ten (paloaltonetworks.com) Bo Qu

Ruby

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Uzaktaki bir saldırgan, dosya sistemini değiştirebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2020-27896: anonim bir araştırmacı

Sistem Tercihleri

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-10009: Computest Research Division'dan Thijs Alkemade

WebKit Saklama Alanı

İlgili sürüm: macOS Big Sur 11.0.1

Etki: Kullanıcılar, dolaşma tarihçesini tamamen silemeyebilir

Açıklama: "Geçmişi ve Web Sitesi Verilerini Sil" seçeneği geçmişi temizlemedi. Veri silme işlemi iyileştirilerek bu sorun giderildi.

CVE-2020-29623: OvalTwo LTD şirketinden Simon Hunt

Giriş eklenme tarihi: 1 Şubat 2021

WebRTC

İlgili sürüm: macOS Big Sur 11.0.1

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-15969: anonim bir araştırmacı

Wi-Fi

İlgili sürümler: macOS Mojave 10.14.6 ve macOS Catalina 10.15.7

Etki: Saldırganlar, Yönetim Çerçevesi Koruması'nı (Managed Frame Protection) atlayabilir

Açıklama: Durumun işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2020-27898: Johannesburg Üniversitesinden Stephan Marais

 

Ek teşekkür listesi

CoreAudio

Ant-Financial Light-Year Security Lab'den JunDong Xie ile Xingwei Lin'e yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 16 Mart 2021

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: