Obsah zabezpečenia v systéme macOS Catalina 10.15.6, aktualizácii zabezpečenia 2020-004 Mojave a aktualizácii zabezpečenia 2020-004 High Sierra
V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Catalina 10.15.6, aktualizácii zabezpečenia 2020-004 Mojave a aktualizácii zabezpečenia 2020-004 High Sierra.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Catalina 10.15.6, aktualizácia zabezpečenia 2020-004 Mojave, aktualizácia zabezpečenia 2020-004 High Sierra
AMD
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9927: Lilang Wu v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Audio
Dostupné pre: macOS Catalina 10.15.5
Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9884: Yu Zhou (@yuzhou6666) z tímu 小鸡帮 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2020-9889: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, JunDong Xie a XingWei Lin z tímu Ant-Financial Light-Year Security Lab
Audio
Dostupné pre: macOS Catalina 10.15.5
Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9888: JunDong Xie a XingWei Lin z tímu Ant-Financial Light-Year Security Lab
CVE-2020-9890: JunDong Xie a XingWei Lin z tímu Ant-Financial Light-Year Security Lab
CVE-2020-9891: JunDong Xie a XingWei Lin z tímu Ant-Financial Light-Year Security Lab
Bluetooth
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2020-9928: Yu Wang zo spoločnosti Didi Research America
Bluetooth
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-9929: Yu Wang zo spoločnosti Didi Research America
Clang
Dostupné pre: macOS Catalina 10.15.5
Dosah: Súčasť Clang môže generovať počítačový kód, ktorý nesprávne presadzuje kódy funkcie Pointer Authentication
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2020-9870: Samuel Groß z tímu Google Project Zero
CoreAudio
Dostupné pre: macOS High Sierra 10.13.6
Dosah: Pretečenie buffera môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9866: Yu Zhou z tímu 小鸡帮 a Jundong Xie z tímu Ant-Financial Light-Year Security Lab
Core Bluetooth
Dostupné pre: macOS Catalina 10.15.5
Dosah: Vzdialený útočník môže spôsobiť neočakávané ukončenie aplikácie
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-9869: Patrick Wardle zo spoločnosti Jamf
CoreCapture
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2020-9949: Proteas
CoreFoundation
Dostupné pre: macOS Catalina 10.15.5
Dosah: Lokálny používateľ môže byť schopný zobraziť si citlivé používateľské informácie
Popis: Pri spracovávaní premenných prostredia dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania.
CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)
CoreGraphics
Dostupné pre: macOS Catalina 10.15.5
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-9883: Anonymný výskumník, Mickey Jin zo spoločnosti Trend Micro
Crash Reporter
Dostupné pre: macOS Catalina 10.15.5
Dosah: Škodlivá aplikácia môže byť schopná pracovať mimo svojho izolovaného priestoru
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2020-9865: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360 v spolupráci s tímom 360 BugCloud
Crash Reporter
Dostupné pre: macOS Catalina 10.15.5
Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: V logike overovania ciest symbolických odkazov dochádzalo k problému. Tento problém bol vyriešený vylepšením čistenia ciest.
CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) z tímu Zero-dayits Team of Legendsec spoločnosti Qi'anxin Group
FontParser
Dostupné pre: macOS Catalina 10.15.5
Dosah: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9980: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
Graphics Drivers
Dostupné pre: macOS Catalina 10.15.5
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9799: ABC Research s.r.o.
Heimdal
Dostupné pre: macOS Catalina 10.15.5
Dosah: Lokálny používateľ môže byť schopný spôsobiť únik citlivých používateľských informácií
Popis: Tento problém bol vyriešený vylepšením ochrany dát.
CVE-2020-9913: Cody Thomas zo spoločnosti SpecterOps
ImageIO
Dostupné pre: macOS Catalina 10.15.5
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-27933: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
ImageIO
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: V súčasti openEXR dochádzalo k viacerým problémom s pretečením buffera
Popis: V súčasti openEXR dochádzalo k viacerým problémom, ktoré boli vyriešené vylepšením kontrol.
CVE-2020-11758: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
CVE-2020-11759: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
CVE-2020-11760: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
CVE-2020-11761: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
CVE-2020-11762: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
CVE-2020-11763: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
CVE-2020-11764: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
CVE-2020-11765: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
ImageIO
Dostupné pre: macOS Catalina 10.15.5
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9871: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
CVE-2020-9872: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
CVE-2020-9874: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
CVE-2020-9879: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
CVE-2020-9936: Mickey Jin zo spoločnosti Trend Micro
CVE-2020-9937: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
ImageIO
Dostupné pre: macOS Catalina 10.15.5
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-9919: Mickey Jin zo spoločnosti Trend Micro
ImageIO
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9876: Mickey Jin zo spoločnosti Trend Micro
ImageIO
Dostupné pre: macOS Catalina 10.15.5
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9873: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
ImageIO
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9877: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
ImageIO
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9875: Mickey Jin zo spoločnosti Trend Micro
ImageIO
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9873: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab
CVE-2020-9984: Anonymný výskumník
Image Processing
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Zobrazenie súboru JPEG so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9887: Mickey Jin zo spoločnosti Trend Micro
Intel Graphics Driver
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9908: Junzhi Lu (@pwn0rz) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Intel Graphics Driver
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2020-9990: ABC Research s.r.l. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, ABC Research s. r. o. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Intel Graphics Driver
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-9921: ABC Research s. r. o. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Kernel
Dostupné pre: macOS Catalina 10.15.5
Dosah: Útočník s oprávneniami v sieti môže byť schopný vložiť kód do aktívnych pripojení v rámci tunela VPN
Popis: Dochádzalo k problému so smerovaním, ktorý bol vyriešený vylepšením obmedzení.
CVE-2019-14899: William J. Tolley, Beau Kujath a Jedidiah R. Crandall
Kernel
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9904: Tielei Wang z tímu Pangu Lab
Kernel
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9924: Matt DeVore zo spoločnosti Google
Kernel
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením správy stavu.
CVE-2020-9892: Andy Nguyen zo spoločnosti Google
Kernel
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-9863: Xinru Chi z tímu Pangu Lab
Kernel
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9902: Xinru Chi a Tielei Wang z tímu Pangu Lab
Kernel
Dostupné pre: macOS Catalina 10.15.5
Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9905: Raz Mashat (@RazMashat) zo spoločnosti ZecOps
Kernel
Dostupné pre: macOS Catalina 10.15.5
Dosah: Aplikácia so škodlivým kódom môže byť schopná odhaliť vyhradenú pamäť
Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9997: Catalin Valeriu Lita zo spoločnosti SecurityScorecard
libxml2
Dostupné pre: macOS Catalina 10.15.5
Dosah: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2020-9926: Nájdené programom OSS-Fuzz
libxpc
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2020-9994: Apple
Login Window
Dostupné pre: macOS Catalina 10.15.5
Dosah: Používateľ sa môže neočakávane prihlásiť do účtu iného používateľa
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9935: Anonymný výskumník
Dostupné pre: macOS Catalina 10.15.5
Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-19906
Dostupné pre: macOS Catalina 10.15.5
Dosah: Poštový server so škodlivým kódom môže prepísať ľubovoľné poštové súbory
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2020-9920: YongYue Wang (alias BigChan) z tímu AF spoločnosti Hillstone Networks
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Spracovanie e‑mailu so škodlivým kódom môže viesť k zápisu ľubovoľných súborov
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9922: Mikko Kenttälä (@Turmio_) zo spoločnosti SensorFu
Messages
Dostupné pre: macOS Catalina 10.15.5
Dosah: Používateľ odstránený zo skupiny iMessage sa môže k tejto skupine znova pripojiť
Popis: Pri spracovávaní tapbackov iMessage dochádzalo k problému. Tento problém bol vyriešený ďalším overovaním.
CVE-2020-9885: Anonymný výskumník, Suryansh Mansharamani zo strednej školy WWP High School North (medium.com/@suryanshmansha)
Model I/O
Dostupné pre: macOS Catalina 10.15.5
Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-9878: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom
Model I/O
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9880: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom
Model I/O
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-9878: Aleksandar Nikolic zo spoločnosti Cisco Talos, Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom
CVE-2020-9881: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom
CVE-2020-9882: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom
CVE-2020-9940: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom
CVE-2020-9985: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom
OpenLDAP
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-12243
Perl
Dostupné pre: macOS Catalina 10.15.5
Dosah: Pretečenie celých čísel v kompilátore regulárnych výrazov jazyka Perl môže vzdialenému útočníkovi umožniť vkladať vlastné inštrukcie do skompilovanej podoby regulárneho výrazu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-10878: Hugo van der Sanden a Slaven Rezic
Perl
Dostupné pre: macOS Catalina 10.15.5
Dosah: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-12723: Sergey Aleynikov
rsync
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Vzdialený útočník môže byť schopný prepísať existujúce súbory
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2014-9512: gaojianfeng
Sandbox
Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9930: Zhiyi Zhang z tímu Codesafe Team of Legendsec spoločnosti Qi'anxin Group
Sandbox
Dostupné pre: macOS Catalina 10.15.5
Dosah: Lokálny používateľ môže byť schopný načítať nepodpísané rozšírenia jadra
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-9939: @jinmo123, @setuid0x0_ a @insu_yun_en z tímu @SSLab_Gatech v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Security
Dostupné pre: macOS Catalina 10.15.5
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2020-9864: Alexander Holodny
Security
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Útočník mohol byť schopný vydávať sa za dôveryhodnú webovú stránku pomocou materiálu zdieľaného kľúča pre certifikát pridaný správcom
Popis: Pri spracovávaní certifikátov pridaných správcom dochádzalo k problému s overovaním certifikátov. Tento problém bol vyriešený vylepšením overovania certifikátov.
CVE-2020-9868: Brian Wolff zo spoločnosti Asana
Security
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2020-9854: Ilias Morad (A2nkF)
sysdiagnose
Dostupné pre: macOS Catalina 10.15.5
Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: V logike overovania ciest symbolických odkazov dochádzalo k problému. Tento problém bol vyriešený vylepšením čistenia ciest.
CVE-2020-9901: Tim Michaud (@TimGMichaud) zo spoločnosti Leviathan, Zhongcheng Li (CK01) z tímu Zero-dayits Team of Legendsec spoločnosti Qi'anxin Group
Vim
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Dosah: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2019-20807: Guilherme de Almeida Suckevicz
WebDAV
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)
Wi-Fi
Dostupné pre: macOS Catalina 10.15.5
Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9918: Jianjun Dai z tímu 360 Alpha Lab v spolupráci s tímom 360 BugCloud (bugcloud.360.cn)
Wi-Fi
Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9899: Yu Wang z tímu Didi Research America
Wi-Fi
Dostupné pre: macOS Catalina 10.15.5
Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9906: Ian Beer z tímu Google Project Zero
Ďalšie poďakovanie
CoreFoundation
Poďakovanie za pomoc si zaslúži Bobby Pelletier.
ImageIO
Poďakovanie za pomoci si zaslúži Xingwei Lin z tímu Ant-Financial Light-Year Security Lab.
Siri
Poďakovanie za pomoc si zaslúžia Yuval Ron, Amichai Shulman a Eli Biham z univerzity Technion – Israel Institute of Technology.
USB Audio
Poďakovanie za pomoc si zaslúži Andy Davis zo spoločnosti NCC Group.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.