Om säkerhetsinnehållet i macOS Catalina 10.15.6, säkerhetsuppdatering 2020-004 Mojave och säkerhetsuppdatering 2020-004 High Sierra
I det här dokumentet beskrivs säkerhetsinnehållet i macOS Catalina 10.15.6, säkerhetsuppdatering 2020-004 Mojave och säkerhetsuppdatering 2020-004 High Sierra.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
macOS Catalina 10.15.6, säkerhetsuppdatering 2020-004 Mojave, säkerhetsuppdatering 2020-004 High Sierra
AMD
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-9927: Lilang Wu i samarbete med TrendMicro Zero Day Initiative
Audio
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-9884: Yu Zhou(@yuzhou6666) på 小鸡帮 i samarbete med Trend Micro Zero Day Initiative
CVE-2020-9889: Anonym i samarbete med Trend Micros Zero Day Initiative, JunDong Xie och XingWei Li på Ant-financial Light-Year Security Lab
Audio
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-9888: JunDong Xie och XingWei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-9890: JunDong Xie och XingWei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-9891: JunDong Xie och XingWei Lin på Ant-Financial Light-Year Security Lab
Bluetooth
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2020-9928: Yu Wang på Didi Research America
Bluetooth
Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Effekt: en lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses
Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-9929: Yu Wang på Didi Research America
Clang
Tillgängligt för: macOS Catalina 10.15.5
Effekt: Clang kan generera maskinkod som inte upprätthåller autentiseringskoder för pekare korrekt
Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2020-9870: Samuel Groß på Google Project Zero
CoreAudio
Tillgängligt för: macOS High Sierra 10.13.6
Effekt: ett buffertspill kan leda till körning av opålitlig kod
Beskrivning: ett buffertspill åtgärdades med förbättrad gränskontroll.
CVE-2020-9866: Yu Zhou på 小鸡帮 och Jundong Xie på Ant-Financial Light-Year Security Lab
Core Bluetooth
Tillgängligt för: macOS Catalina 10.15.5
Effekt: En fjärrangripare kan orsaka ett oväntat programavslut
Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-9869: Patrick Wardle på Jamf
CoreCapture
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2020-9949: Proteas
CoreFoundation
Tillgängligt för: macOS Catalina 10.15.5
Effekt: En lokal användare kunde visa känslig användarinformation
Beskrivning: Ett problem förekom i hanteringen av miljövariabler. Problemet har åtgärdats genom förbättrad validering.
CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)
CoreGraphics
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2020-9883: en anonym forskare, Mickey Jin på Trend Micro
Crash Reporter
Tillgängligt för: macOS Catalina 10.15.5
Effekt: Ett skadligt program kan bryta sig ut från sin sandlåda
Beskrivning: Ett minnesfel åtgärdades genom borttagning av den sårbara koden.
CVE-2020-9865: Zhuo Liang på Qihoo 360 Vulcan Team i samarbete med 360 BugCloud
Crash Reporter
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en lokal angripare kan höja sin behörighet
Beskrivning: Det förekom ett problem med logiken för validering av sökvägar för symboliska länkar. Problemet åtgärdades genom förbättrad sökvägssanering.
CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) från Zero-dayits-teamet på Legendsec från Qi'anxin Group
FontParser
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-9980: Xingwei Lin på Ant Security Light-Year Lab
Graphics Drivers
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en skadlig app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-9799: ABC Research s.r.o.
Heimdal
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en lokal användare kan läcka känslig användarinformation
Beskrivning: problemet åtgärdades genom att förbättra dataskyddet.
CVE-2020-9913: Cody Thomas på SpecterOps
ImageIO
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-27933: Xingwei Lin på Ant-Financial Light-Year Security Lab
ImageIO
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: flera problem med buffertspill förekom i openEXR
Beskrivning: flera problem i openEXR åtgärdades med förbättrade kontroller.
CVE-2020-11758: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-11759: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-11760: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-11761: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-11762: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-11763: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-11764: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-11765: Xingwei Lin på Ant-Financial Light-Year Security Lab
ImageIO
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-9871: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-9872: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-9874: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-9879: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-9936: Mickey Jin på Trend Micro
CVE-2020-9937: Xingwei Lin på Ant-Financial Light-Year Security Lab
ImageIO
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2020-9919: Mickey Jin på Trend Micro
ImageIO
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: Öppnande av en uppsåtligt skadlig PDF-fil kan leda till att appen oväntat avslutas eller att opålitlig kod körs
Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-9876: Mickey Jin på Trend Micro
ImageIO
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-9873: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin på Ant-Financial Light-Year Security Lab
ImageIO
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-9877: Xingwei Lin på Ant-Financial Light-Year Security Lab
ImageIO
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2020-9875: Mickey Jin på Trend Micro
ImageIO
Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-9873: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin på Ant-Financial Light-Year Security Lab
CVE-2020-9984: en anonym forskare
Image Processing
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: visning av en skadlig JPEG-fil kan leda till körning av opålitlig kod
Beskrivning: ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-9887: Mickey Jin på Trend Micro
Intel Graphics Driver
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses
Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-9908: Junzhi Lu(@pwn0rz) i samarbete med Trend Micros Zero Day Initiative
Intel Graphics Driver
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en skadlig app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett konkurrenstillstånd åtgärdades genom ytterligare validering.
CVE-2020-9990: ABC Research s.r.l. i samarbete med Trend Micro Zero Day Initiative, ABC Research s.r.o. i samarbete med Trend Micro Zero Day Initiative
Intel Graphics Driver
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-9921: ABC Research s.r.o. i samarbete med Trend Micros Zero Day Initiative
Kernel
Tillgängligt för: macOS Catalina 10.15.5
Effekt: En angripare i en behörig nätverksposition kan införas i anslutningar inom en VPN-tunnel
Beskrivning: Ett dirigeringsproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2019-14899: William J. Tolley, Beau Kujath och Jedidiah R. Crandall
Kernel
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2020-9904: Tielei Wang på Pangu Lab
Kernel
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2020-9924: Matt DeVore på Google
Kernel
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: flera minnesfel åtgärdades med förbättrad tillståndshantering.
CVE-2020-9892: Andy Nguyen på Google
Kernel
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2020-9863: Xinru Chi på Pangu Lab
Kernel
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: ett program med skadligt innehåll kan ta reda på schemat för kernelminnet
Beskrivning: ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-9902: Xinru Chi och Tielei Wang på Pangu Lab
Kernel
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: ett buffertspill åtgärdades med förbättrad gränskontroll.
CVE-2020-9905: Raz Mashat (@RazMashat) på ZecOps
Kernel
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en skadlig app kan leda till att begränsat minne avslöjas
Beskrivning: ett problem med att information avslöjades åtgärdades genom förbättrad tillståndshantering.
CVE-2020-9997: Catalin Valeriu Lita på SecurityScorecard
libxml2
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av uppsåtligt skapad XML kan leda till en oväntad programavslutning eller körning av opålitlig kod
Beskrivning: ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2020-9926: hittad av OSS-Fuzz
libxpc
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Effekt: ett skadligt program kan godtyckligt skriva över filer
Beskrivning: ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.
CVE-2020-9994: Apple
Login Window
Tillgängligt för: macOS Catalina 10.15.5
Effekt: En användare kan oväntat loggas in på en annan användares konto
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2020-9935: en anonym forskare
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2019-19906
Tillgängligt för: macOS Catalina 10.15.5
Effekt: En skadlig e-postserver kan skriva över godtyckligt valda e-postfiler
Beskrivning: ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.
CVE-2020-9920: YongYue Wang AKA BigChan på Hillstone Networks AF Team
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: bearbetning av ett skadligt e-postmeddelande kan leda till skrivning av opålitliga filer
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2020-9922: Mikko Kenttälä (@Turmio_) på SensorFu
Messages
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en användare som togs bort från en iMessage-grupp kunde gå med i gruppen igen
Beskrivning: Ett problem förekom i hanteringen av iMessage-tapbacks. Problemet åtgärdades med ytterligare verifiering.
CVE-2020-9885: en anonym forskare, Suryansh Mansharamani, på WWP High School North (medium.com/@suryanshmansha)
Model I/O
Tillgängligt för: macOS Catalina 10.15.5
Effekt: bearbetning av en USD-fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2020-9878: Holger Fuhrmannek på Deutsche Telekom Security
Model I/O
Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Effekt: Bearbetning av en USD-fil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: ett buffertspill åtgärdades med förbättrad gränskontroll.
CVE-2020-9880: Holger Fuhrmannek på Deutsche Telekom Security
Model I/O
Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Effekt: bearbetning av en USD-fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2020-9878: Aleksandar Nikolic på Cisco Talos, Holger Fuhrmannek på Deutsche Telekom Security
CVE-2020-9881: Holger Fuhrmannek på Deutsche Telekom Security
CVE-2020-9882: Holger Fuhrmannek på Deutsche Telekom Security
CVE-2020-9940: Holger Fuhrmannek på Deutsche Telekom Security
CVE-2020-9985: Holger Fuhrmannek på Deutsche Telekom Security
OpenLDAP
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2020-12243
Perl
Tillgängligt för: macOS Catalina 10.15.5
Effekt: Ett heltalsspill i PCRE (Perl regular expression compiler) kan göra det möjligt för en fjärrangripare att lägga in instruktioner i kompilerade versioner av reguljära uttryck
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2020-10878: Hugo van der Sanden och Slaven Rezic
Perl
Tillgängligt för: macOS Catalina 10.15.5
Effekt: En fjärrangripare kan orsaka körning av opålitlig kod
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2020-12723: Sergey Aleynikov
rsync
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Effekt: en fjärrangripare kan skriva över befintliga filer
Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.
CVE-2014-9512: gaojianfeng
Sandbox
Tillgängligt för: macOS Mojave 10.14.6, macOS Catalina 10.15.5
Effekt: en lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses
Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-9930: Zhiyi Zhang från Codesafe-teamet på Legendsec från Qi'anxin Group
Sandbox
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en lokal användare kan läsa in osignerade kerneltillägg
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2020-9939: @jinmo123, @setuid0x0_ och @insu_yun_en på @SSLab_Gatech i samarbete med Trend Micros Zero Day Initiative
Security
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2020-9864: Alexander Holodny
Security
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: En angripare kan utge sig för att tillhöra en betrodd webbplats med hjälp av delade nyckelmaterial för certifikat som läggs till av administratör
Beskrivning: Det fanns ett problem med valideringen av certifikat när certifikat tillagda av administratörer bearbetades. Problemet har åtgärdats genom förbättrad certifikatsvalidering.
CVE-2020-9868: Brian Wolff på Asana
Security
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Effekt: en app kan få högre behörighet
Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2020-9854: Ilias Morad (A2nkF)
sysdiagnose
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en lokal angripare kan höja sin behörighet
Beskrivning: Det förekom ett problem med logiken för validering av sökvägar för symboliska länkar. Problemet åtgärdades genom förbättrad sökvägssanering.
CVE-2020-9901: Tim Michaud (@TimGMichaud) från Leviathan, Zhongcheng Li (CK01) från Zero-dayit-teamet Legendsec från Qi'anxin Group
Vim
Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Effekt: en fjärrangripare kan orsaka körning av opålitlig kod
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2019-20807: Guilherme de Almeida Suckevicz
WebDAV
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en process i sandlådeläge kan kringgå sandlådebegränsningarna
Beskrivning: problemet åtgärdades med förbättrade behörigheter.
CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)
Wi-Fi
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt
Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-9918: Jianjun Dai på 360 Alpha Lab i samarbete med 360 BugCloud (bugcloud.360.cn)
Wi-Fi
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-9899: Yu Wang på Didi Research America
Wi-Fi
Tillgängligt för: macOS Catalina 10.15.5
Effekt: en fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt
Beskrivning: ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-9906: Ian Beer på Google Project Zero
Ytterligare tack
CoreFoundation
Vi vill tacka Bobby Pelletier för hjälpen.
ImageIO
Vi vill tacka Xingwei Lin på Ant-Financial Light-Year Security Lab för hjälpen.
Siri
Vi vill tacka Yuval Ron, Amichai Shulman och Eli Biham på Technion – Israel Institute of Technology för hjälpen.
USB Audio
Vi vill tacka Andy Davis på NCC Group för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.