本文档描述了MacOS Catalina 10.15.5、安全更新2020-003 Mojave、安全更新2020-003 High Sierra的安全内容。
为了保护我们的客户,苹果不会披露、讨论或确认安全问题,直到调查已经发生,补丁或版本可用。最近发布的版本列在苹果安全更新主页上。
影响:恶意应用程序可能与系统进程交互以访问私有信息并执行特权操作。
CVE-2020-9856:@jinmo123,@setuid0x0_,@ssu_yun_en@SSLab_GaTech与趋势科技的零日计划合作。
描述:符号链接的处理中存在验证问题。通过改进符号链接的验证解决了此问题。
影响:打开恶意创建的PDF文件可能会导致应用程序意外终止或执行任意代码。
CVE-2020-9816:STAR实验室的Peter Nguyen Vu Hoang与趋势科技零日计划合作。
影响:应用程序可能导致意外的系统终止或写入内核内存。
描述:存在导致内存损坏的逻辑问题。这是通过改进国家管理来解决的。
描述:处理环境变量时存在问题。通过改进验证解决了此问题。
描述:解析URL时存在问题。通过改进输入验证解决了此问题。
影响:恶意应用程序可能会修改文件系统的受保护部分。
影响:恶意应用程序可能导致拒绝服务或可能泄露内存内容。
CVE-2020-9839:@jinmo123,@setuid0x0_,@ssu_yun_en@SSLab_GaTech与趋势科技的零日计划合作。
影响:远程攻击者可能导致意外的系统终止或损坏内核内存。
我们要感谢慕尼黑工业大学的马克西米利安·冯·齐齐尼茨和慕尼黑工业大学的路德维希·皮克特提供的帮助。
我们感谢安全移动网络实验室的Jiska Classen(@naehrdine)和Dennis Heinze(@ttdennis)的帮助。
关于非由苹果公司生产的产品的信息,或未被苹果公司控制或测试的独立网站的信息,是在没有推荐或认可的情况下提供的。对于第三方网站或产品的选择、性能或使用,苹果不承担任何责任。对于第三方网站的准确性和可靠性,苹果没有提出任何声明。有关其他信息,请与供应商联系。