(2020年3月26日掲載)
Appleより、macOS Catalina 10.15.4、セキュリティアップデート 2020-002 Mojave、セキュリティアップデート 2020-002 High Sierra がリリースされました。
アップデート内容は以下の通りです。リリースノートより一部引用します。
macOS Catalina 10.15.4、セキュリティアップデート2020-002 Mojave、セキュリティアップデート2020-002 High Sierra
2020 年 3 月 24 日リリース
Apple HSSPIサポート
対象:macOS Catalina 10.15.3
影響:アプリケーションがシステム権限で任意のコードを実行できる可能性がある。
説明:メモリ処理の改善により、メモリ破損の問題が解決されました。
CVE-2020-3903:Proteas of Qihoo 360 Nirvan TeamAppleGraphicsControl
対象:macOS High Sierra 10.13.6、macOS Mojave 10.14.6、macOS Catalina 10.15.3
影響:悪意のあるアプリケーションがカーネル権限で任意のコードを実行できる可能性がある。
説明:状態管理が改善され、複数のメモリ破損の問題が解決されました。
CVE-2020-3904:Proteas of Qihoo 360 Nirvan TeamAppleMobileFileIntegrity
対象:macOS Catalina 10.15.3
影響:アプリケーションが任意の資格を使用できる可能性がある。
説明:この問題はチェックを改善することで解決されました。
CVE-2020-3883:Linus Henze(pinauten.de)Bluetooth
対象:macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15.3
影響:ローカルユーザーが予期しないシステムの終了を引き起こしたり、カーネルメモリを読み取ったりする可能性がある。
説明:範囲外の読み取りは、改善された入力検証で対処されました。
CVE-2020-3907:Yu Wang of Didi Research America
CVE-2020-3908:Yu Wang of Didi Research America
CVE-2020-3912:Yu Wang of Didi Research AmericaBluetooth
対象:macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15.3
影響:悪意のあるアプリケーションがカーネル権限で任意のコードを実行できる可能性がある。
説明:入力の検証が改善され、メモリ破損の問題が解決されました。
CVE-2020-3892:Yu Wang of Didi Research America
CVE-2020-3893:Yu Wang of Didi Research America
CVE-2020-3905:Yu Wang of Didi Research AmericaBluetooth
対象:macOS Mojave 10.14.6、macOS High Sierra 10.13.6
影響:アプリケーションが制限されたメモリを読み取れる可能性がある。
説明:入力のサニタイズが改善され、検証の問題が解決されました。
CVE-2019-8853:Jianjun Dai of Qihoo 360 Alpha Lab通話履歴
対象:macOS Catalina 10.15.3
影響:悪意のあるアプリケーションがユーザーの通話履歴にアクセスできる可能性がある。
説明:この問題は、新しい資格で対処されました。
CVE-2020-9776:Benjamin Randazzo(@____benjamin)CoreFoundation
対象:macOS Catalina 10.15.3
影響:悪意のあるアプリケーションが上位権限に変更できる可能性がある。
説明:権限の問題が存在しました。この問題は、権限の検証を改善することで解決されました。
CVE-2020-3913:Timo Christ of Avira Operations GmbH & Co. KGFaceTime
対象:macOS Catalina 10.15.3
影響:ローカルユーザーが機密のユーザー情報を表示できる可能性がある。
説明:状態管理が改善され、ロジックの問題が解決されました。
CVE-2020-3881:Yuval Ron, Amichai Shulman and Eli Biham of Technion - Israel Institute of TechnologyIcons
対象:macOS Catalina 10.15.3
影響:悪意のあるアプリケーションが、ユーザーがインストールした他のアプリケーションを特定できる可能性がある。
説明:この問題は、アイコンキャッシュの処理を改善することで解決されました。
CVE-2020-9773:Chilik Tamir of Zimperium zLabsIntel Graphics Driver
対象:macOS Catalina 10.15.3
影響:悪意のあるアプリケーションが制限されたメモリを開示する可能性がある。
説明:状態管理の改善により、情報開示の問題に対処しました。
CVE-2019-14615:Wenjian HE of Hong Kong University of Science and Technology, Wei Zhang of Hong Kong University of Science and Technology, Sharad Sinha of Indian Institute of Technology Goa, and Sanjeev Das of University of North CarolinaIOHIDFファミリー
対象:macOS High Sierra 10.13.6、macOS Mojave 10.14.6、macOS Catalina 10.15.3
影響:悪意のあるアプリケーションがカーネル権限で任意のコードを実行できる可能性がある。
説明:メモリの初期化の問題は、メモリの処理を改善することで解決されました。
CVE-2020-3919:匿名の研究者IOThunderboltFamily
対象:macOS Mojave 10.14.6、macOS High Sierra 10.13.6
影響:アプリケーションが上位権限を取得できる可能性がある。
説明:メモリ管理の改善により、解放後使用の問題が解決されました。
CVE-2020-3851:Xiaolong Bai and Min (Spark) Zheng of Alibaba Inc. and Luyi Xing of Indiana University Bloomingtonカーネル
対象:macOS High Sierra 10.13.6、macOS Mojave 10.14.6、macOS Catalina 10.15.3
影響:アプリケーションが制限されたメモリを読み取れる可能性がある。
説明:メモリの初期化の問題は、メモリの処理を改善することで解決されました。
CVE-2020-3914:pattern-f (@pattern_F_) of WaCaiカーネル
対象:macOS Catalina 10.15.3
影響:悪意のあるアプリケーションがカーネル権限で任意のコードを実行できる可能性がある。
説明:状態管理が改善され、複数のメモリ破損の問題が解決されました。
CVE-2020-9785:Proteas of Qihoo 360 Nirvan Teamlibxml2
対象:macOS High Sierra 10.13.6、macOS Mojave 10.14.6、macOS Catalina 10.15.3
影響:libxml2の複数の問題
説明:境界チェックの改善により、バッファオーバーフローに対処しました。
CVE-2020-3909:LGTM.com
CVE-2020-3911:OSS-Fuzzにより検出libxml2
対象:macOS High Sierra 10.13.6、macOS Mojave 10.14.6、macOS Catalina 10.15.3
影響:libxml2の複数の問題。
説明:バッファオーバーフローは、サイズ検証が改善されて対処されました。
CVE-2020-3910:LGTM.comメール
対象:macOS High Sierra 10.13.6、macOS Catalina 10.15.3
影響:リモートの攻撃者が任意のJavaScriptコードを実行する可能性がある。
説明:インジェクションの問題は検証を改善することで解決されました。
CVE-2020-3884:Applesudo
対象:macOS Catalina 10.15.3
影響:攻撃者は、存在しないユーザーとしてコマンドを実行できる可能性がある。
説明:この問題は、sudoバージョン1.8.31にアップデートすることで解決されました。
CVE-2019-19232TCC
対象:macOS Mojave 10.14.6、macOS Catalina 10.15.3
影響:悪意を持って作成されたアプリケーションがコード署名の強制を回避できる可能性がある。
説明:制限が改善され、ロジックの問題が解決されました。
CVE-2020-3906:Patrick Wardle of JamfTime Machine
対象:macOS Catalina 10.15.3
影響:ローカルユーザーが任意のファイルを読み取ることができる可能性がある。
説明:状態管理が改善され、ロジックの問題が解決されました。
CVE-2020-3889:Lasse Trolle Borup of Danish Cyber DefenceVim
対象:macOS Catalina 10.15.3
影響:Vimの複数の問題。
説明:バージョン8.1.1850に更新することで、複数の問題が解決されました。
CVE-2020-9769:Steve Hahn from LinkedIn
